2026년 1월 8일 기준, 기업 보안의 고민은 “나쁜 놈을 막자”에서 “누구에게 무엇을 어디까지 열어줄까”로 옮겨가고 있습니다. 예전에는 사무실 네트워크가 성벽처럼 조직을 감쌌고, 방화벽과 VPN이 문지기 역할을 했습니다. 그런데 지금은 성벽 자체가 흐릿합니다. 직원은 집과 이동 중에 일하고, 협업은 SaaS에서 이루어지며, 중요한 데이터도 여러 클라우드에 흩어져 있습니다. 이런 환경에서 제로트러스트는 유행어라기보다, 새로 짜야하는 생활 규칙에 가깝습니다. 이 글은 Zscaler를 중심으로 ‘경계 없는 시대’의 보안이 어떻게 바뀌는지, SASE가 왜 연결과 보안을 한 덩어리로 묶는지, 마지막으로 정책설계가 실제 성과를 가르는 이유를 정리합니다. 그리고 투자자라면 어떤 지표와 질문으로 보안주를 바라봐야 하는지도 함께 담아보겠습니다.
Zscaler로 읽는 제로트러스트의 핵심: “안으로 들이지 말고, 필요한 만큼만 건네라”
제로트러스트를 한 문장으로 줄이면 “먼저 믿지 말고, 매번 확인하자”이지만, 실제 현장에서는 조금 더 실용적인 뜻으로 작동합니다. 예전 방식은 사용자를 사내망으로 ‘들여보낸 뒤’ 넓은 길을 열어주는 느낌이었습니다. 반면 요즘 방식은 사용자를 굳이 안으로 들이지 않습니다. 대신 사용자가 가려는 앱이나 데이터에만, 그 순간에만, 조건을 만족할 때만 연결을 만들어 줍니다. 마치 건물 전체 출입증이 아니라, 특정 회의실 예약 시간에만 문이 열리는 카드키 같은 방식이라고 생각하시면 이해가 빠릅니다. Zscaler가 주목받는 이유도 여기에 있습니다. 사용자가 인터넷과 SaaS로 나갈 때, 혹은 사내 애플리케이션을 쓰려할 때, 트래픽을 클라우드 기반의 보안 경로로 태워 정책을 적용합니다. 여기서 중요한 건 “장비가 어디에 깔렸는가”보다 “정책이 얼마나 촘촘하게 살아 움직이는가”입니다. 기기 상태가 불안하면 접속을 제한하고, 평소와 다른 국가에서 로그인이 발생하면 추가 확인을 걸고, 민감한 파일 업로드는 막거나 승인 절차로 넘기는 식입니다. 결국 제로트러스트의 본질은 ‘네트워크’를 통째로 지키는 게 아니라 ‘업무 동선’을 잘게 나눠 관리하는 데 있습니다. 제가 어느 날 급하게 외부 미팅 자료를 수정하려고 카페에서 노트북을 열었습니다. 예전 회사라면 VPN을 켜고 사내망에 들어가는 순간, 저는 “안으로 들어왔다”는 이유로 꽤 많은 시스템에 접근할 수 있었을 겁니다. 문제는 그때부터입니다. 만약 제 노트북이 패치가 밀려 있었거나, 공용 와이파이가 위험했거나, 계정이 피싱으로 털린 상태였다면요. 반대로 제로트러스트 환경이라면, 저는 ‘사내망’으로 들어가지 않습니다. 그저 필요한 앱 하나에만, 잠깐 연결됩니다. 그리고 노트북 보안 상태가 기준에 못 미치면 접속 자체가 제한되거나, 파일 다운로드만 막히는 식으로 제동이 걸립니다. 업무는 이어가되 사고 확률은 낮추는 구조죠. 이 차이가 곧 보안 철학의 차이입니다. 투자 관점에서는 이 구조가 매출의 성격을 바꿉니다. 제로트러스트 플랫폼이 고객의 “접근 규칙” 한복판을 맡게 되면, 고객은 단기간에 갈아타기 어렵습니다. 정책이 쌓일수록, 로그와 운영 프로세스가 맞물릴수록, 교체 비용이 커지기 때문입니다. 그래서 투자자라면 “계약을 따냈다”보다 “계약 이후에 얼마나 깊게 쓰게 되었나”를 더 중요하게 봐야 합니다. 단순 신규 로고보다 확장 매출, 갱신 안정성, 고객당 사용 범위가 핵심이 됩니다. 그리고 이게 바로 보안주를 ‘테마’가 아니라 ‘구조 변화’로 보는 출발점입니다.
SASE는 왜 뜨는가: 연결과 보안이 따로 놀면, 비용과 사고가 같이 늘어난다
SASE를 어렵게 설명하면 복잡해지고, 쉽게 말하면 꽤 단순합니다. 기업의 연결(네트워크)과 방어(보안)를 한 방향으로 묶어, 사용자 위치가 어디든 같은 기준으로 다루려는 흐름입니다. 예전에는 지사에는 지사 장비, 본사에는 본사 장비, 원격 근무에는 별도 설루션이 붙으면서 관리가 파편화되곤 했습니다. 그러다 보니 정책은 서로 다르게 굴고, 로그는 여기저기 흩어지고, 사고가 나면 “어디서 새었는지”를 찾는 데만 시간이 흘러갑니다. SASE는 그 어지러운 전선을 정리해 보겠다는 시도입니다. 이 흐름이 강해지는 배경은 두 가지입니다. 하나는 성능과 경험입니다. 사용자가 SaaS를 쓰는데 트래픽이 굳이 본사로 돌아갔다가 다시 클라우드로 나가면, 체감 속도는 떨어집니다. 다른 하나는 운영입니다. 인력이 늘지 않는 상황에서 보안 정책을 여러 제품에 중복 설정하는 건, 시간이 지날수록 실수와 예외를 키웁니다. 그래서 기업은 점점 “정책을 한 번만 정의하고, 어디서 접속하든 똑같이 적용되게” 만드는 쪽으로 움직입니다. 연결과 보안이 같은 리듬으로 뛰어야, 운영 비용이 내려가고 사고 대응도 빨라지니까요. 제가 소규모 팀을 꾸려 프로젝트를 운영할 때입니다. 팀원은 본사 3명, 재택 4명, 외주 2명으로 흩어져 있고, 툴은 메신저·드라이브·이슈트래커·CRM까지 제각각입니다. 어느 날 외주 계정으로 이상 트래픽이 발생합니다. 이때 연결 설루션과 보안 설루션이 따로 놀면, 저는 “접속 경로 로그”와 “보안 이벤트 로그”를 각각 뒤져야 합니다. 서로 시간대도 다르고 용어도 달라서, 원인을 맞추는 데만 한참 걸립니다. 반대로 SASE 지향 구조라면, 접속과 정책 적용, 차단 이유가 같은 흐름으로 연결되어 보입니다. 그래서 “어떤 조건에서 허용됐고, 어떤 조건에서 막혔는지”를 더 빨리 복기할 수 있습니다. 사고 대응 속도는 곧 피해 규모로 이어지니, 이 차이는 생각보다 큽니다. 투자자의 눈으로는 SASE가 “통합”이라는 말로 포장된 번들이 아니라, 고객의 운영 난이도를 실제로 낮추는지 확인해야 합니다. 통합이 진짜라면 고객은 제품 수를 줄이고, 계약 범위를 넓히려는 유인이 생깁니다. 반대로 통합이 느슨하면 고객은 기능별로 경쟁사와 비교하면서 할인 압박을 높이고, 장기 계약의 힘이 약해집니다. 그래서 체크 포인트는 의외로 실무적입니다. 구축 이후 운영이 쉬워졌다는 고객 평가가 늘어나는지, 파트너/도입 생태계가 탄탄한지, 그리고 제품이 커질수록 고객의 ‘관리 부담’이 늘지 않는지 말입니다. 그리고 보안주 투자법으로 한 가지 더 강조하고 싶습니다. SASE/제로트러스트 종목은 성장 스토리만큼 실적 변동성도 함께 움직이는 경우가 잦습니다. 따라서 “좋은 테마니까 산다”가 아니라, (1) 매출이 반복적으로 쌓이는 구조인지 (2) 영업 효율이 개선되는지 (3) 현금흐름이 나빠지며 성장하는 방식은 아닌지 같은 현실적인 질문을 꾸준히 던져야 합니다. 테마가 맞아도 숫자가 무너지면 주가는 흔들립니다. 반대로 숫자가 견고하면, 시장이 흔들리는 구간에서도 다시 기회가 생기곤 합니다.
정책설계가 성패를 가른다: 좋은 제품보다 “규칙을 설계하는 힘”이 오래 남는다
제로트러스트가 제대로 굴러가느냐는 제품 스펙보다 정책설계에 달려 있다고 해도 과언이 아닙니다. 왜냐하면 제로트러스트는 문을 ‘닫는’ 기술이 아니라, 문을 ‘잘게 나누어’ 여닫는 기술이기 때문입니다. 규칙을 촘촘히 만들수록 안전해지지만, 동시에 업무가 불편해질 위험도 커집니다. 그래서 정책설계는 늘 줄타기입니다. 너무 느슨하면 구멍이 생기고, 너무 빡빡하면 사람들이 우회로를 찾아다니며 오히려 통제가 무너집니다. 결국 좋은 정책은 “업무 흐름을 망치지 않으면서 위험을 줄이는 것”에 초점이 있어야 합니다. 정책설계를 잘하는 조직의 특징은 대체로 비슷합니다. 먼저 업무를 ‘역할’과 ‘데이터’ 관점으로 나눕니다. 누구에게 어떤 시스템이 필요한 지부터 정리하고, 꼭 필요한 경로만 남깁니다. 그다음 접속 조건을 세웁니다. 기기 보안 상태, 로그인 위치, 이상 행위 여부, 파일 반출 같은 조건을 단계적으로 붙입니다. 마지막으로 기록과 점검을 루틴으로 만듭니다. 어떤 규칙이 너무 엄격해 업무를 막는지, 어떤 예외가 반복되는지, 어떤 팀에서 위험 신호가 자주 뜨는지 지속적으로 다듬습니다. 제로트러스트는 ‘도입’이 아니라 ‘운영’에서 완성됩니다. 제가 팀의 문서 보안을 강화하겠다고 마음먹고, 처음부터 파일 다운로드를 광범위하게 막아버렸습니다. 며칠 지나지 않아 상황은 금세 꼬입니다. 디자인 팀은 자료를 로컬에서 편집해야 한다며 불만이 쌓이고, 영업 팀은 고객 제안서 템플릿조차 열 수 없다며 항의합니다. 결국 사람들은 개인 메일이나 메신저로 파일을 옮기는 우회로를 쓰기 시작합니다. 보안은 강화한 게 아니라, 눈에 안 보이는 위험을 키운 셈이죠. 그래서 저는 접근을 다시 쪼갭니다. 역할별로 꼭 필요한 다운로드만 허용하고, 민감 문서는 뷰어로만 열리게 하며, 반출이 필요할 때는 승인 절차와 워터마크를 붙입니다. 이렇게 정책을 ‘현실에 맞게’ 손보니 우회로가 줄고, 오히려 통제가 제대로 작동하기 시작합니다. 제로트러스트의 어려움과 매력이 동시에 드러나는 장면입니다. 투자로 연결하면 메시지는 명확해집니다. 정책설계가 어렵다는 건, 반대로 말해 플랫폼이 자리를 잡으면 쉽게 빠지지 않는다는 뜻이기도 합니다. 고객 조직에 맞춘 규칙, 워크플로, 감사 대응 방식이 쌓이면, 그건 단순 기능이 아니라 운영의 습관이 됩니다. 그래서 투자자는 “기술이 멋지다”보다 “고객이 스스로 운영 수준을 올릴 수 있게 돕는가”를 확인해야 합니다. 교육/템플릿/자동화/리포팅이 강할수록 고객 성공이 늘고, 장기적으로 확장 매출이 따라옵니다. 마지막으로 보안주 투자 체크 포인트를 정리해 보겠습니다. 첫째, 반복 매출의 질입니다. 단순 매출 성장률뿐 아니라 갱신 안정성과 확장 흐름이 건강한지 보셔야 합니다. 둘째, 영업의 효율입니다. 성장이 비용으로만 쌓이는지, 아니면 같은 비용으로 더 큰 매출을 만들어내는지 흐름을 관찰해야 합니다. 셋째, 경쟁 구도입니다. 고객 예산의 어느 항목을 대체하고 있는지(원격접속, 웹 보안, 내부 앱 접근, 데이터 보호 등) 파악하면 경기 민감도를 가늠하기가 한결 수월해집니다. 넷째, 리스크 관리입니다. 성장주 특유의 변동성을 감안해 분할 접근, 목표 비중, 손실 한도를 미리 정해두는 편이 결국 마음도 계좌도 지키는 길이 됩니다.
제로트러스트는 ‘보안 제품 하나’가 아니라, 경계가 흐려진 업무 환경에서 살아남기 위한 운영 방식입니다. 2026년 1월 8일 기준으로 보안주를 바라볼 때도 마찬가지입니다. Zscaler 같은 기업의 가치는 화려한 키워드보다, 고객이 접근 규칙을 얼마나 자연스럽게 옮겨 타고 있는지, 연결과 보안이 한 흐름으로 정리되는지, 그리고 정책설계의 부담을 얼마나 줄여주는지에서 드러납니다. 투자는 결국 숫자와 심리의 싸움이니, 성장 스토리와 함께 현금흐름·영업 효율·경쟁 압박을 같이 점검하시길 권합니다. 마지막으로, 어떤 종목이든 과신은 금물입니다. 좋은 기업도 매수 타이밍과 비중이 어긋나면 고생할 수 있으니, 자신만의 규칙을 먼저 세워두는 것이 가장 실용적인 ‘투자 보안’입니다. (본 글은 정보 제공 목적이며 투자 판단과 책임은 독자 본인에게 있습니다.)