사이버보안 스타트업이 12B 밸류에이션을 받는 이유

80배 ARR 배수, 숫자가 말하는 것

Evolution Equity Partners가 주도하는 약 3억 달러 규모의 신규 라운드로 Cyera의 기업가치가 12억 달러(약 1.7조 원)에 근접했다. 여기서 눈에 띄는 숫자는 ARR 대비 밸류에이션 배수 80배다. 현재 영업 손실 중인 기업에 이 배수가 붙었다는 것은, 투자자들이 "지금 얼마를 버느냐"가 아닌 "이 문제가 얼마나 크냐"와 "대체재가 존재하느냐"에 베팅했다는 뜻이다. 일반적인 B2B SaaS의 ARR 배수가 성장률·수익성을 고려해 10~20배 수준임을 감안하면, 80배는 시장이 특수 취급하는 카테고리에만 붙는 숫자다.

역산해보면 Cyera의 현재 ARR은 약 1,500만 달러 수준으로 추정된다. 엔터프라이즈 고객 300여 곳이 평균 연 5만 달러짜리 계약을 맺고 있다고 가정하면 맞아 떨어진다. 여기서 결제·정산 팀 입장에서 중요한 질문이 나온다. "고객들이 왜 그 금액을 기꺼이 쓰는가?" 정답은 하나다. 이 솔루션이 **비용(Cost)이 아니라 보험(Insurance)**으로 인식되기 때문이다. 보험을 비싸다고 안 드는 회사는 없다 — 한 번 사고가 나면 훨씬 비싸진다는 걸 알기 때문에.

결제·정산 현장: 보안 침해는 실제로 얼마나 비싼가

IBM의 2024년 데이터 침해 비용 보고서에 따르면 금융 서비스 업종의 평균 침해 비용은 **건당 6.1백만 달러(약 83억 원)**로, 전 산업 평균 4.9백만 달러를 크게 웃돈다. 이 수치에는 포렌식 비용, 고객 통지, 규제 벌금, 브랜드 신뢰 하락으로 인한 고객 이탈이 모두 포함된다. PCI-DSS 4.0 기준 미충족 상태에서 카드 브랜드 감사에 걸리면 월 5,000달러~10만 달러의 벌금이 부과되고, 중대 침해 후에는 카드 처리 자격 자체가 박탈될 수 있다.

이걸 HEDVION 규모의 팀에 대입해보자. 매일 새벽 3시, 정산 배치 스크립트가 PG사 API를 호출해 전일 거래를 처리한다. 하루 처리량 10만 건, 건당 평균 5만 원 기준이면 일 처리 총액은 50억 원 규모다. 여기서 API 키 하나가 침해되어 72시간 동안 감지되지 않는다면, 노출 구간의 거래 데이터 총액은 약 150억 원이다. 실제 자금 유출이 없더라도 이 사실이 공개되는 순간 PCI-DSS 위반 신고 의무가 발생하고, 대형 가맹점과의 계약 해지 조항이 발동된다. 숫자로 보면 "보안 자동화에 연 3,000만 원을 쓰는 게 비싼가"라는 질문의 답이 달라진다.

Cyera가 파는 것: DSPM의 본질과 왜 지금인가

Cyera의 핵심 제품은 DSPM(Data Security Posture Management)이다. 클라우드 전반에 흩어진 민감 데이터를 자동으로 탐색·분류하고, 잘못된 접근 권한이나 이상 패턴을 실시간으로 감지한다. S3 버킷이 실수로 퍼블릭 오픈된 채 방치되다가 언론에 나오는 사고, 퇴사한 직원의 DB 권한이 6개월째 살아있던 사건 — 이 모든 사례의 공통점은 **"사람이 수동으로 점검하기엔 범위가 너무 넓다"**는 것이다.

2024년 이후 멀티클라우드 환경이 금융 스타트업에도 표준이 되면서 문제는 더 커졌다. AWS, GCP, Azure를 혼합 운영하면 각 환경마다 수백 개의 IAM 정책과 수천 개의 데이터 저장소가 생긴다. HEDVION 규모(515인)가 이것을 수작업으로 감사하려면 전담 보안 엔지니어 최소 2인이 필요하다. 시장 시세로 연봉 합계 2억 원 이상. 반면 Cyera 수준의 DSPM SaaS 연간 라이선스는 규모에 따라 2,000만5,000만 원 수준이다. 이 단순 비교만으로도 고객이 지갑을 여는 이유, 그리고 80배 배수를 받는 논리가 설명된다.

HEDVION 시나리오: API 키 침해 72시간, 3분으로 줄이기

실제 공격 벡터로 시뮬레이션해보자. 개발자가 로컬 테스트를 위해 .env 파일을 실수로 GitHub에 push했다. 5분 만에 삭제했지만, 자동 스캐너 봇은 이미 API 키를 수집해갔다. 이 침해를 '발견'하는 데 걸리는 시간이 모든 것을 결정한다. 수동 감시 체계라면 개발자가 우연히 PG사 대시보드에서 이상한 호출 패턴을 발견하거나 PG사가 먼저 연락해오길 기다려야 한다 — IBM 보고서 기준 금융업 평균 침해 탐지 시간은 194일이다.

자동화된 파이프라인이 있다면 흐름이 달라진다. ① GitHub push 이벤트 → ② Secret Scanning이 .env 내 API 키 패턴 탐지 → ③ Slack 알림 + API 키 자동 무효화. 이 전체가 3분 이내에 완료된다. 194일 vs 3분의 차이가 곧 손실 규모의 차이다. 그리고 이것을 구현하는 데 Cyera 같은 엔터프라이즈 솔루션이 당장 필요한 것도 아니다. GitHub Advanced Security의 Secret Scanning(퍼블릭 레포 무료, 프라이빗 레포 월 19달러~)과 truffleHog를 CI 파이프라인에 연결하는 것만으로 이 특정 시나리오의 90%를 차단할 수 있다. 소요 시간: 30분.

구축 vs 구매: 작은 팀의 냉정한 셈법

Cyera의 성공을 보고 "우리 도메인에 맞는 걸 직접 만들면 어떨까"라는 생각이 드는 것은 자연스럽다. 결제·정산 시스템의 내부 구조를 누구보다 잘 아는 팀이라면 더욱 그렇다. 하지만 이 판단에는 숨겨진 비용이 있다. 구축(Build) 쪽: 초기 개발 3개월(엔지니어 2인 기준 인건비 약 3,000만 원) + 이후 클라우드 API 변경·신규 규제 반영·오탐률 조정에 매년 1,000만 원 이상. 결정적으로, 이 인력은 결제·정산 핵심 기능 개발에 써야 할 자원이다. 구매(Buy) 쪽: 연간 라이선스 비용에 더해, 민감한 결제 데이터를 외부 솔루션에 노출해야 한다는 데이터 거버넌스 리스크, 그리고 벤더 락인 문제.

HEDVION 같은 팀에 현실적인 답은 계층적 접근이다. ① git-secrets, truffleHog, Dependabot처럼 오픈소스·무료 도구로 커버 가능한 벡터(시크릿 노출, 의존성 취약점, 로그 이상 탐지)는 직접 파이프라인에 통합한다. ② 멀티클라우드 전체 가시성, PCI-DSS 컴플라이언스 리포팅 자동화처럼 구축 비용이 구매 비용을 명확히 초과하는 영역만 SaaS 도입을 검토한다. "완벽한 보안"을 목표로 삼으면 아무것도 못 한다. **"가장 빠르게 고통을 주는 구멍부터 막는다"**는 원칙이 먼저다.

지금 바로 실행할 수 있는 4가지 액션

이번 주 안에 HEDVION 팀이 할 수 있는 것들이다. 도구 이름과 소요 시간까지 포함한다.

① Git 파이프라인에 시크릿 스캔을 오늘 연결하라. GitHub → Settings → Code Security → Secret Scanning 활성화(무료). GitLab 사용자라면 .gitlab-ci.yml에 gitleaks 스텝 추가. 소요 시간 30분. 앞서 언급한 API 키 노출 시나리오의 90%를 차단한다.

② 운영 중인 모든 결제 API 키의 권한 범위를 지금 감사하라. PG사, 은행, 정산 파트너 API 키를 목록화하고, "읽기 전용으로 충분한데 쓰기 권한까지 부여된" 키를 찾아라. 최소 권한 원칙(Principle of Least Privilege) 적용은 제로 비용으로 공격 표면을 줄인다. 목표 소요 시간: 2시간.

③ 정산 배치 잡에 이상 알림을 달아라. 새벽 3시 배치가 조용히 실패하거나 처리 건수가 갑자기 비정상적으로 증감하는 것을 아무도 모른다면, 운영 오류인지 침해인지 구분할 수 없다. Datadog, Sentry, 또는 단순한 Slack 웹훅이라도 좋다. "이상하면 즉시 사람에게 알린다"는 원칙 자체가 보안 가시성의 시작이다.

④ "자동화 + 보안"을 묶어 가치 제안으로 재정의하라. Cyera가 80배 배수를 받는 이유는 "보안 도구"가 아닌 "보안 자동화 플랫폼"으로 포지셔닝했기 때문이다. HEDVION이 가맹점·파트너사에 정산 자동화를 제안할 때, "처리 정확도 99.9% + 이상 거래 실시간 감지·격리"를 함께 패키징하면 가격 협상력이 달라진다. 자동화의 신뢰성은 결국 보안 가시성에서 나온다. 그것이 Cyera의 12억 달러가 결제·정산 현장에 주는 진짜 교훈이다.