기업 문화 / 보안

사이버보안 업체가 M&A 될 때 고객사가 해야 할 6가지 질문

Jaikumar Vijayan | CSO 2022.03.25
2021년 사이버보안 업계에서 투자와 인수합병(M&A) 활동이 급증하고 있다. 주로 규모가 큰 종합 기술 기업이나 사이버보안 시장의 성장에서 수익을 노리는 사모펀드가 특정 분야에 전문화된 보안 기업을 인수한다. 이런 추세에 따라 인수합병 시 해당 솔루션을 이용하는 기업이 직면할 수 있는 과제에 대한 관심도 증폭되고 있다. 
 
ⓒ Getty Images Bank

S&P 글로벌 마켓 인텔리전스(S&P Global Market Intelligence)의 2021년 11월 집계 데이터에 따르면, 2021년 1~3분기 동안에만 151건의 사이버보안 M&A가 성사됐다. 2020년 동기의 경우 94건, 2019년 88건, 2018년 80건이었다. 많은 기업이 사모펀드로부터 막대한 VC((Venture Capital) 투자를 받았고 아예 사모펀드가 직접 인수한 경우도 있다. VC 투자 기업들은 작년에만 사이버보안 시장에 220억 달러를 투자하면서 연간 최고 기록을 세웠다.

이런 추세에 따라 기업은 지금까지 투자한 보안 기술과 서비스가 갑자기 다른 플랫폼으로 통합되거나 우선순위에서 밀려나고, 시장에서 아예 사라지는 상황에 직면할 수 있다. 따라서 보안 책임자는 이용 중인 솔루션이 다른 기업에 인수될 때 어떤 일이 일어날지, 그리고 무엇을 물어야 하는지를 알고 있어야 한다.

포레스터 리서치 애널리스트 제프 폴라드는 “인수 기업이 피인수 기업의 기술이나 서비스를 대폭 축소하거나 인원을 줄일 계획을 가진 경우라면, 인수 또는 피인수 기업에서 직접 명확한 답을 얻을 가능성은 희박하다고 말했다. 설사 그렇다 해도 기업은 최대한 많은 정보를 얻기 위해 노력하는 것이 좋다”라고 말했다. 

기업은 벤더가 다른 기업에 흡수될 경우 미치게 될 여파를 가능한 모든 범위에서 파악해야 한다. 인수 기업이 피인수 벤더의 기술을 자사 플랫폼에 통합할 것이라고 말한다면 사용자 인터페이스에 통합되는지, 더 큰 플랫폼의 일부가 되는지 등 그 말의 구체적인 의미를 물어야 한다는 것이다.

폴라드를 비롯한 업계 전문가들은 이용 중인 벤더가 인수되는 경우 보안 책임자가 물어야 할 6가지 질문을 다음과 같이 정리했다.


1. 사용 중인 제품이 유지되는가, 통합되는가?

인수합병 이후 가장 큰 문제는 제품의 연속성이다. 인수 기업이 비슷하거나 겹치는 기술을 보유한 경우 피인수 기업의 제품은 밀려나거나 아예 단종될 수 있다. 제품 로드맵 역시 인수 후 변경되거나 단축될 수 있다. 요구사항의 변화에 따라 확장이 가능할 것이라는 전제하에 특정 기술에 투자한 보안팀은 인수 후 제품이 빠르게 단종 수순을 밟는 상황에 직면한다. S&P 글로벌 마켓 인텔리전스 산하 451 리서치(451 Research)의 애널리스트 다니엘 케네디에 따르면, 인수 기업이 더 큰 플랫폼을 보유했거나 인수의 목적이 제품이 아닌 전문 지식에 있는 경우 이런 상황이 발생할 수 있다.

또한 기업은 ‘언제까지 업데이트가 제공되는가’와 같이 투자한 제품이 어떤 형태로, 얼마나 오래 유지될 것인지를 물어야 한다. 범위가 더 큰 플랫폼에 기술이 흡수된다면 전체 그림의 일부로서 해당 제품에 대한 인수 기업의 향후 전략을 파악해야 한다. 케네디는 “나중에 더 큰 플랫폼을 설치해야 하는지, 아니면 대체 솔루션을 찾아야 하는지, 향후 라이선스 구조와 비용은 어떻게 되는지를 확인해야 한다”라고 말했다.

펀드IT(Pund-IT) 애널리스트 찰스 킹은 “인수 또는 피인수 벤더가 기존 시스템 및 기술의 폐기 또는 교체 여부를 포함해 최소 2~4년간의 시야를 고객에게 제공할 수 있어야 한다. 경우에 따라 이 프로세스는 고객이 걱정하는 것만큼 복잡하거나 문제가 되지 않을 수 있다. 그러나 극단적 사례도 많은 만큼 고객은 벤더에 최대한 명확한 설명을 요구해야 한다”라고 조언했다.


2. 벤더의 창업자/CEO와 기타 경영진은 어디에 소속되는가?

거래 완료 후 피인수 또는 피합병 기업의 창업자 또는 최고 경영진의 계획이 무엇인지를 확인해야 한다. 종종 매각한 사업체의 구매자는 특정 재무적 목표를 달성할 경우 매각자에게 부가적인 보상을 받을 지불하는 조항을 계약서에 포함한다. 이른바 차후 정산으로 불리는 이 조항의 기간은 보통 3~5년이다.

IT하베스트(IT-Harvest)의 최고 연구 애널리스트인 리차드 스타이논은 “피인수 기업의 창업자 또는 경영진의 차후 정산 기간을 확인해야 한다. 창업자 또는 경영진이 확보한 차후 정산 기간이 어느 정도인지, 합병된 회사에 머물 것인지, 12개월 후에 현금을 챙겨 나가는지 등을 확인하라”라고 말했다.

새로운 회사에서 이들의 역할도 확인해야 한다. 스타이논은 “전략적 역할을 맡는지, 명목상의 직함만 받는지 알아야 한다. 피인수 기업의 경영진이 인수 기업의 비전과 방향을 바꾸고 최종적으로는 인수 기업을 이끌게 되는 경우도 있다”라고 말했다.

폴라드는 큰 기업이 훨씬 더 작은 규모의 벤더를 인수하는 경우 피인수 기업의 경영진과 창업자는 인수 기업의 C레벨 경영진이 아닌 그보다 낮은 부사장이나 본부장급으로 활동하는 되는 경우가 많다고 말했다. 예를 들어 인수 기업이 특정 기술을 얻고자 하는 목적으로 작은 회사를 인수하는 경우에서 그렇다. 폴라드는 이런 경우 피인수 벤더의 경영진은 제품 로드맵, 지원 계획 및 기타 사안과 관련하여 인수 기업이 내리는 의사 결정에 거의 영향을 미치지 못한다고 지적했다. 


3. 인수 기업의 인력 유지 관행은?

인수 기업의 인력 유지 및 확보 정책에 관심을 가져야 한다. 회사를 인수한 후 직원들을 내보내는 경향이 있는가? 기존 팀에 대한 계획은 무엇인가? 케네디는 이용 중인 보안 서비스 업체가 다른 벤더에 인수되는 경우 인수 기업의 과거 기록으로 알 수 있는 인력 유지 관행을 특히 중요하게 봐야 한다고 말했다. 고가의 고급 보안 서비스를 이용하다가 인수 이후 수준 낮은 지원 인력에 할당되는 상황은 피하고 싶을 것이기 때문이다. 케네디는 “고객에게 이상적인 상황은 벤더가 고객에게 이익이 되는 보완적 서비스를 인수하는 경우다. 또는 이미 관계를 맺고 있는 두 벤더가 인수합병이 되고 결합된 기능이 추가되는 것”이라고 말했다.

킹은 영업, 서비스, 지원 인력 측면에서 대대적인 변화가 일어날 것인지를 적극적으로 물어야 한다고 말했다. 고객과 자주 접촉하며 문제나 비상 상황에서 믿고 고객이 연락하는 사람들이기 때문이다. 킹은 “이 인력은 규모가 축소되거나 인수 벤더의 기존 인력으로 대체될 가능성이 가장 높다. 특히 새로운 벤더의 고객 서비스 방식이 피인수 벤더와 크게 다른 경우 이 과정에서 상당한 마찰이 발생할 수 있다”라고 강조했다.


4. 브랜드가 유지되는가?

벤더를 인수한 후 해당 브랜드를 유지하는 경우도 있지만, 대체로 피인수 기업은 인수 기업의 일부분이 된다. 후자의 경우라면 벤더가 가지고 있던 제품 계획과 로드맵이 변경되거나 아예 폐기되고 인수 기업의 로드맵과 계획으로 대체될 가능성이 높다. 따라서 브랜드에 대한 인수 기업의 계획을 알면 대처에 도움이 된다.

스타이논은 “’제품과 기업이 자체 브랜드를 유지하는가’ 같은 질문은 이미 구매한 제품이 계속 지원되고 개선될 것인지를 알기 위한 것이다. 유지되지 않는다면 제품은 더 큰 플랫폼에 병합되거나 수명이 끝나 폐기된다. 이때 해당 기능을 계속 이용하기 위해서는 인수 벤더의 전체 플랫폼을 구매해야 한다”라고 설명했다.


5. 인수 기업이 사모펀드인가?

스타이논은 이용 중인 보안 벤더를 인수하는 기업이 사모펀드 업체인지를 확인해야 한다고 말했다. 작년 사이버보안 시장에서 일어난 여러 투자에는 사모펀드 업체들이 많이 개입했다. 모멘텀 사이버(Momentum Cyber)에 따르면, 2021년 사모펀드 업체에서 인수한 사이버보안 기업은 130개에 이른다. 연간 기준 최고 기록이다. 대표적으로 토마 브라보(Thoma Bravo)가 프루프포인트(ProofPoint)를 123억 달러에, 심포니 테크놀로지 그룹(Symphony Technology Group)이 이끄는 컨소시엄이 맥아피를 40억 달러에, 그리고 베인 캐피털(Bain Capital)과 크로스 포인트 캐피털(Cross Point Capital)이 엑스트라홉(ExtraHop)을 9억 달러에 인수했다.

스타이논은 “보안 벤더를 인수하는 기업이 사모펀드인 경우에는 사모펀드가 사용하는 수법을 잘 파악해야 한다. 사모펀드 업체는 레버리지에 적극적이다. 이들은 IPO를 위해 많은 기업을 모아서 패키지화하거나 적당한 가격에 매각하는 것을 목표로 한다”라고 말했다. 어느 쪽이든 피인수 벤더의 기술 또는 서비스에 투자한 고객은 직접적인 영향을 받는다.


6. 인수 기업의 문화는 어떠한가?

보안 벤더가 인수될 예정이거나 이미 인수된 경우 인수한 기업의 문화에도 주목해야 한다. 보안 분야의 많은 벤더는 전문 지식에 바탕을 두고 실무자적 사고방식으로 특정 문제 또는 문제 집합을 해결하는 것을 목표로 설립됐다. 폴라드는 “이 같은 기업은 전문성과 기술이 문화의 큰 부분을 차지한다. 이들은 진정한 헌신과 열정적 자세를 갖고 있으며 기술에 대한 지식이 확고하다”라고 말했다. 하지만 이런 벤더가 제품 중심, 포트폴리오 기반의 훨씬 더 큰 회사에 인수될 때는 달갑지 않은 일이 일어날 수 있다. 폴라드는 “2년 정도 대처할 기간이 주어질 수 있다. 6개월에서 1년 이내에 제품 교체와 마이그레이션에 대한 생각을 시작해야 한다”라고 조언했다.

킹은 “보안 책임자 입장에서 최선의 상황은 인수 벤더가 피인수 기업에 대한 고객의 투자와 이를 통해 얻은 혜택의 중요성을 이해하고 과거와 비슷한 방식으로 계속해서 고객과 협력하는 것이다. 그렇지 않으면 IT 고객으로서는 앞으로의 일을 예상하고 새로운 옵션 고려 여부를 판단하는 것이 최선이다”라고 말했다.
editor@itworld.co.kr
 Tags 인수합병 CISO 조언 사이버보안

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.