클로버 시큐리티, 위즈(Wiz) 창업자들로부터 3,600만 달러 유치… 개발자들이 코드를 작성하기 전에 작동하는 보안 판매

3,600만 달러의 질문: 왜 현명한 투자가들이 보안 스캐너에 등을 돌리는가

사후 대응적 보안의 종말

알론 콜만(Alon Kollmann)이 지난 10년간의 애플리케이션 보안 도구들이 그저 "짚으로 만든 집에 설치된 더 똑똑한 화재 경보기"에 불과하다고 단언할 때, 이는 허세가 아니다. 노터블 캐피탈(Notable Capital)과 팀8(Team8)로부터 3,600만 달러를 유치하며 11월 25일 공식 출범한 클로버 시큐리티(Clover Security)의 공동 창립자인 그는 업계 데이터가 이미 외치고 있는 바를 명확히 설명하고 있다: 사후 대응적 스캐닝은 AI 시대를 살아남을 수 없다.

현실은 냉혹하다. 이제 AI 에이전트들은 인간 개발자보다 10배 빠르게 코드를 생성하지만, 보안 역량은 제자리에 머물러 있다. 이 격차는 매일 커지고 있다. 더욱 치명적인 것은, 2025년 침해 사고의 80%가 구현 후 스캐너로는 방지할 수 없는 설계 결함(안전하지 않은 통합, 결함 있는 데이터 흐름)에서 비롯된다는 점이다. SAST(정적 애플리케이션 보안 테스트), DAST(동적 애플리케이션 보안 테스트), 심지어 "AI 기반 앱 보안" 도구들조차 개발자들이 이미 다음 단계로 넘어간 후에야 증상을 탐지하여, 보안 팀은 어제의 불을 끄는 동안 내일의 코드베이스는 이미 불타고 있는 상황에 놓이게 된다.

클로버의 핵심 주장은 간단하다: 보안은 제품이 망가진 후에 시작될 것이 아니라, 콘플루언스(Confluence) 문서, 지라(Jira) 티켓, 슬랙(Slack) 대화 등 제품이 시작되는 곳에 내재되어야 한다. 이 회사의 AI 에이전트는 조직의 맥락을 흡수하고 시스템 아키텍처를 학습하며, 단 한 줄의 코드가 작성되기도 전에 설계 결정을 안내한다. 금융 서비스 회사, 기업용 소프트웨어 개발사, 그리고 유데미(Udemy) 및 레모네이드(Lemonade)와 같은 기업들은 콜만이 고객당 "3~4명의 가상 보안 엔지니어"라고 부르는 서비스에 이미 "수백만 달러의 매출"을 지불하고 있다.

클로버의 베팅: 코드가 존재하기 전의 보안

이 타이밍은 우연이 아니다. 2025년에 세 가지 요인이 수렴된다: 자율 AI 에이전트가 기계 속도로 아키텍처 결정을 내리고 있고; AI 시스템에 특화된 새로운 위협 모델링 프레임워크가 확산되고 있으며; 기존 ASPM(Application Security Posture Management) 도구는 여전히 고집스럽게 구현 후에 머물러 있다. 마케팅 팀이 노코드(no-code) 플랫폼을 사용하여 몇 시간 만에 애플리케이션을 가동할 수 있게 되면서, 배포 후 아티팩트를 스캔하는 기존 보안 모델은 구조적으로 구식이 되었다.

클로버는 위협 모델링 도구(대부분 워크숍 기반 템플릿)와 ASPM 플랫폼(여전히 스캐너 중심) 사이에 위치한다. 이 회사는 자연어 아키텍처 문서와 복잡한 다이어그램을 분석하여, 설계 의도와 구현 현실 사이의 괴리를 감지하는 조직별 지식 그래프를 구축한다. 이는 SQL 인젝션을 직접 방지하는 것이 아니라, SQL 인젝션을 가능하게 하는 아키텍처 결정을 방지하는 것이다.

시장은 이러한 접근 방식을 입증하고 있다. 애플리케이션 보안 시장은 2030년까지 250억~300억 달러에 이를 것으로 예측되며, 사이버 보안 내 AI 부문은 매년 20% 이상 성장하고 있다. 포레스터(Forrester)는 2025년을 "전환점"이라고 부르는데, AI 모델이 알려진 취약점을 줄이는 동시에 RAG(Retrieval-Augmented Generation) 파이프라인과 에이전트 워크플로에서 새로운 설계 결함을 유발하면서 기존 스캐닝이 구식이 되는 시점이다.

벤처캐피탈의 계산법: 완벽함을 전제로 한 가격 책정

그러나 투자 논리는 불편한 진실을 드러낸다. 위즈(Wiz)의 창립자 아사프 라파포트(Assaf Rappaport)와 이논 코스티카(Yinon Costica), 그리고 체크포인트(Check Point)의 공동 창립자 슐로모 크라머(Shlomo Kramer)가 참여한 "3,600만 달러 시드 투자"는 사실상 시드 투자가 아니다. 이는 이스라엘 사이버 보안 분야의 시리즈 A 투자이며, 위즈(Wiz)와 같은 규모의 성공을 가정하는 가치 평가가 포함되었을 가능성이 높다.

내부 VC 메모는 충격적일 만큼 솔직하다: "'보안 설계'가 그 자체의 플랫폼 계층이 될 것이라는 높은 신호, 높은 기대의 베팅이다." 해석하자면: 투자자들은 단순히 좋은 제품이 아니라, 새로운 카테고리 창조를 보증하고 있다. 약 40명의 직원이 두 배로 늘어날 계획이고 "수백만 달러 초중반의 연간 반복 매출(ARR)"을 가진 클로버는 다운 라운드(down-round) 위험이 현실화되기 전에 2,000만~3,000만 달러의 ARR을 달성해야 하는 압박에 직면해 있다.

낙관적인 시나리오는 세 가지 가설에 달려 있다: 설계 단계 보안이 ASPM 기능이 아닌 독립적인 예산 항목이 되고; 클로버의 조직별 지식 그래프가 LLM(대규모 언어 모델)의 상품화에 맞서 진정한 해자를 구축하며; 규제적 순풍(2026년 EU AI Act 시행 강화)이 문서화된 위협 모델링을 의무화할 것이라는 점이다. 이 세 가지 가설이 모두 유효하다면, 20억~50억 달러 규모의 성과는 실현 가능하다.

아무도 논의하지 않는 진짜 위험

그러나 VC 메모는 실존적 위협인 "카테고리 흡수 위험"을 지목한다. ASPM 기존 강자, 위즈(Wiz) 및 팔로알토(Palo Alto)와 같은 클라우드 플랫폼, 그리고 하이퍼스케일러 보안 코파일럿(copilot)이 충분한 설계 가이던스를 제공하여 클로버가 핵심 시스템이 아닌 '있으면 좋은' 추가 기능으로 전락할 수 있다. 그렇게 되면 엑시트(exit)는 독립적인 플랫폼이 아닌 3억~7억 달러 규모의 인수 합병(tuck-in)으로 보일 것이다.

더욱 근본적으로, 보안 설계는 도구뿐만 아니라 프로세스와 문화이다. 너무 늦게 도입되거나 너무 많은 노이즈를 생성하는 도구는 기술적 장점과 상관없이 무시되기 마련이다. 보안 팀이 클로버를 표준 워크플로에 통합하지 못한다면, 강력한 초기 판매에도 불구하고 사용량은 정체될 것이다.

궁극적인 아이러니는 다음과 같다: 클로버의 성공은 조직이 소프트웨어를 구축하는 방식을 바꾸는 데 달려 있다는 점이다. 이는 수십 년 동안 보안 도구들을 좌절시켰던 바로 그 문화적 변화이다. 이번에는 장애물이 인간이 아니라 AI 에이전트라는 점이 다르다. 이것이 문제를 더 쉽게 만들지, 아니면 불가능할 정도로 더 어렵게 만들지가 사후 대응적 보안이 진정으로 소멸할지, 아니면 단지 이름을 바꿀지에 대한 답을 결정할 것이다.

투자 조언이 아님