팔로알토 네트웍스: AI 기반 위협, 보안 수요를 잠식하는 것이 아니라 구조적으로 확대한다
2026 회계연도 3분기 실적 발표(6월 2일): 프런티어 AI 모델의 위협 환경 재편 속 전 부문 기록적 분기 달성
팔로알토 네트웍스(Palo Alto Networks)가 창사 이래 가장 강력한 분기 실적을 발표했다. 차세대 보안(NGS) 연간 반복 매출(ARR)은 전년 동기 대비 60% 성장한 81억 3,000만 달러를 기록하며 모든 가이던스 지표를 큰 폭으로 상회했다. 그러나 투자자들에게 더 중요한 점은 단순한 재무 수치가 아니다. 'Mythos'와 같은 프런티어 AI 모델이 사이버 보안 산업의 최종 가치(terminal value)를 영구적으로 높여놓았다는 구조적 변화다. 이는 지난 1년간 해당 섹터를 짓눌러왔던 비관론을 뒤집는 결과다.
Mythos가 바꾼 위협 계산법, 그리고 투자 논리
니케시 아로라(Nikesh Arora) CEO는 자율적이고 사이버 공격 능력을 갖춘 AI 시스템이 산업에 미치는 영향을 이례적으로 직설적인 화법으로 재정의했다. 그는 "6개월 전만 해도 AI가 우리 모두를 보호할 것이기에 사이버 보안 주식은 끝났고, 우리는 모두 일자리를 잃을 것이라는 시각이 지배적이었다"며, "그러나 이제는 플랫폼 보안 기업 없이는 어떠한 사이버 방어 시나리오도 실행할 수 없는 상황이 됐다"고 강조했다. 그의 발언은 홍보용이 아닌 구조적 진단이다. 공격자들이 무기화할 수 있는 프런티어 모델은 25%에 달하는 오탐률(false positive rate)이라는 치명적 결함을 안고 있다. 따라서 고도로 통합된 플랫폼만이 제공할 수 있는 고정밀 실시간 텔레메트리 없이는 자동화된 AI 방어 체계가 작동할 수 없다. 아로라 CEO는 "잘못된 차단 결정 하나가 글로벌 생산 네트워크 전체를 마비시킬 수 있다"고 경고했다.
팔로알토의 Unit 42 연구팀은 올해 초 초기 침투부터 데이터 유출까지 이어지는 전체 랜섬웨어 캠페인을 단 25분 만에 시뮬레이션하며 이러한 위협의 시급성을 증명했다. 일반적인 기업이 침해 사실을 인지하는 데 며칠이 걸리는 것과 대비된다. 아로라 CEO는 이러한 프런티어 시스템이 향후 몇 년 내에 환경을 스캔하고 맞춤형 익스플로잇을 생성하며 기계적 속도로 엔드투엔드 공격을 수행하는 '에이전트 AI'로 진화하기까지 3~6개월의 골든타임밖에 남지 않았다고 경고했다. 투자자들에게 주는 실질적인 함의는 실시간 플랫폼 기반 사이버 보안 수요가 일시적 현상이 아니라 필수적인 인프라로 자리 잡고 있다는 점이다.
하드웨어, 지난 10년 중 최고의 분기 실적 기록
이번 분기 가장 놀라운 데이터는 하드웨어 사업의 성과다. 차세대 방화벽 예약 매출(bookings)은 전년 대비 40% 가까이 급증하며 지난 10년 중 가장 강력한 하드웨어 실적을 기록했다. 이는 AI 데이터센터 구축 붐, 4월 초 단행된 10% 가격 인상, 그리고 기존 고객군에서는 볼 수 없었던 국가 인프라 제공업체 및 AI 연구소라는 새로운 고객층의 유입이 맞물린 결과다. 디팍 골레차(Dipak Golechha) CFO는 2021 회계연도에 전체 매출의 20%를 차지했던 하드웨어 비중이 현재 약 10%로 줄었음에도 불구하고, 3분기 백로그(수주 잔고)를 기록적인 수준으로 끌어올렸다고 설명했다. 장치당 평균 구독 수는 4개를 넘어섰으며, 총 11개의 고급 구독 옵션을 제공함으로써 하드웨어 판매가 단순한 상품 거래가 아닌 지속 가능한 플랫폼 진입점이 되었음을 보여준다.
아로라 CEO는 수년간 이어질 기회를 다음과 같이 정리했다. "프런티어 AI 연구소들이 데이터를 저장하고 학습에 활용함에 따라 하이퍼스케일러, AI 연구소, 네오클라우드 등 전방위적으로 데이터센터가 폭발적으로 늘고 있으며, 이 수요는 자연스럽게 하드웨어 공급업체로 흐르고 있다. 이러한 추세는 앞으로 몇 분기, 길게는 몇 년간 지속될 것이다." 다만 그는 데이터센터 성장이 정체되면 하드웨어의 순풍도 완화될 것이라며 과도한 낙관론을 경계했다.
회사 역사상 가장 빠르게 성장하는 제품, Prisma AIRS
팔로알토의 AI 보안 플랫폼인 Prisma AIRS는 단 한 분기 만에 고객 수를 3배로 늘리며 2분기 말 100개에서 3분기 말 300개 이상으로 급증했다. 1년 전에는 존재하지도 않던 제품이 향후 몇 분기 내에 ARR 1억 달러를 돌파할 것으로 예상된다. 한 글로벌 컨설팅 펌은 매달 2조 개 이상의 토큰을 처리하는 AI 애플리케이션 보안을 위해 2,000만 달러 규모의 계약을 체결했는데, 이는 AIRS 사상 최대 규모의 수주다. 골레차 CFO는 Prisma AIRS와 Firewall Flex 계약 덕분에 소프트웨어 방화벽 ARR이 전년 대비 25% 성장했으며, 이를 통해 인접한 플랫폼 구성 요소들까지 함께 판매되는 '풀쓰루(pull-through)' 효과가 나타나고 있다고 전했다.
리 클라리치(Lee Klarich) 최고제품기술책임자(CPTO)는 이 아키텍처가 배포 전 모델 스캔 및 AI 레드팀 운영부터 런타임 위협 방어, XSIAM을 통한 SOC 데이터 수집까지 전체 라이프사이클을 포괄한다고 설명했다. 최근 인수한 AI 게이트웨이 기업 PortKey는 매달 수조 개의 토큰을 처리하며 에이전트 간 상호작용을 제어하는 핵심 거점 역할을 수행, Prisma AIRS의 에이전트 인프라 계층을 더욱 확장하고 있다.
XSIAM, ARR 6억 달러 돌파 및 100% 성장… SOC 혁신 현실화
XSIAM은 3분기 말 기준 740개 고객사를 확보하며 전년 대비 100% 성장한 6억 달러 이상의 ARR을 기록했다. 클라리치 CPTO는 XSIAM 고객 대다수가 과거 며칠에서 몇 주가 걸리던 위협 대응을 이제 10분 이내에 처리하고 있다는 점을 성과의 핵심으로 꼽았다. 이 플랫폼은 매일 17페타바이트 이상의 텔레메트리를 수집하는데, 이는 어떠한 보안 전문 기업도 따라올 수 없는 규모다. 아로라 CEO는 XSIAM이 데이터 수집 전 사전 분석을 수행하도록 설계되었으며, 공격 타임라인이 기계적 속도로 단축되는 상황에서 이것이 결정적인 강점으로 작용하고 있다고 설명했다. 다만 그는 고객들이 아직 신뢰 구축 단계에 있다며 "현재 고객들은 관찰하고 승인하는 방식을 선호하지만, 배포에 익숙해지면 더 많은 자율권을 부여할 것"이라고 덧붙였다.
Chronosphere, 기대치 상회… 관측 가능성(Observability)과 보안의 융합
관측 가능성(Observability) ARR은 3분기 3억 달러를 돌파하며 작년 가을 인수 발표 이후 거의 2배 성장했고, 전 분기 대비 50% 이상의 성장률을 기록했다. 이는 대형 언어 모델(LLM) 고객사가 기존 공급업체에서 팔로알토 플랫폼으로 이전을 가속화한 결과다. 해당 고객사는 현재 팔로알토의 단일 고객 중 가장 큰 규모인 2억 달러 이상의 ARR을 차지하고 있다. 아로라 CEO는 Chronosphere의 핵심 경쟁력을 "기존 업체 대비 절반 수준의 비용으로 동등한 성능을 제공하는 것"이라며, 고객들이 '직접 구축(build)'보다 '구매(buy)'를 선택하게 만드는 강력한 유인책이 되고 있다고 평가했다. 그는 로드맵에 대해 "고급 사용자들은 이미 그 역량을 확인했다"면서도 시장 전반에서 완전히 경쟁력을 갖추기까지는 추가 기능 보완이 필요하다고 신중한 입장을 보였다.
클라리치 CPTO는 장기적인 융합 전략을 제시했다. 관측 가능성을 위해 수집된 데이터가 XSIAM의 보안 센서 역할을 하고, 보안 텔레메트리가 관측 가능성 활용 사례에 추가적인 맥락을 제공하는 방식이다. 팔로알토는 이를 위해 'AgentiX'라 불리는 공통 에이전트 계층을 양 플랫폼의 연결 고리로 삼을 계획이다. 그는 "관측 가능성 플랫폼에 단순히 기능을 조금 추가한다고 해서 보안 플랫폼이 되는 것은 아니다"라며 통합이 곧 희석을 의미하지는 않는다고 강조했다.
CyberArk 통합, 예정보다 3~6개월 앞서 진행
팔로알토 산하 첫 분기를 보낸 CyberArk는 매출과 수익성 모두 내부 목표치를 상회했다. 양사 영업팀은 약 1,000건의 교차 고객 접점을 만들었으며, 지난달에는 에이전트 시대를 위한 차세대 ID 플랫폼 'Idira'를 출시했다. 아로라 CEO는 "수년간 업계는 소수의 관리자만 보호하면 된다는 IAM(ID 및 접근 관리)의 오류에 빠져 있었으나, 에이전트 AI 시대에는 그 경계가 사라졌다"고 설명했다. Idira는 현대적인 PAM(권한 접근 관리) 통제를 모든 인간, 기계, 소프트웨어 에이전트 ID로 확장하며 향후 10년의 핵심 공격 벡터에 대응한다.
골레차 CFO는 인수 후 통합을 위해 300개 이상의 IT 공급업체를 검토하여 약 20%를 정리했으며, 40개 이상의 부동산 거점을 최적화하고 있다고 밝혔다. CyberArk의 수익성이 팔로알토의 마진 수준으로 수렴하는 시점은 당초 가이던스보다 3~6개월 앞당겨진 12~18개월 내로 예상된다. 이는 골레차 CFO가 재확인한 2028 회계연도 40% 잉여현금흐름(FCF) 마진 목표를 직접적으로 뒷받침한다. 한편 Prisma Cloud에서 Cortex Cloud로의 마이그레이션에 대해 아로라 CEO는 "다른 제품만큼 성과가 좋지는 않지만, 포트폴리오 플랫폼을 운영하는 이유가 바로 이런 것"이라며 솔직하게 인정했다. 그는 대부분의 Prisma 고객이 회계연도 말까지 마이그레이션을 완료할 것으로 보고 있다.
SASE, 시장 성장률 2배인 16억 달러 ARR 달성… Secure Browser 1,100만 라이선스 확보
SASE ARR은 16억 달러로 전년 대비 40% 성장하며 전체 시장 성장률의 2배를 기록했다. 올해 들어 50건의 경쟁사 대체 수주(displacement wins)를 통해 2억 달러의 계약 가치를 확보했다. Secure Browser는 4배 성장한 1,100만 라이선스를 기록하며 AI 엔터프라이즈 접근을 위한 핵심 통제 지점으로 자리 잡았다. 아로라 CEO는 "8년 전만 해도 '최고의 제품(best-of-breed)'을 선호하는 경향이 강했으나, 이제는 그 의지가 사그라들었다"며 구매자 심리의 구조적 변화가 회사에 이득이 되고 있다고 분석했다. 하드웨어 방화벽, 소프트웨어 방화벽, SASE, 그리고 Prisma AIRS까지 일관된 정책을 적용할 수 있는 능력은 단일 제품 SASE 업체들이 해결할 수 없는 네트워크 아키텍처 통합 프로젝트를 창출하고 있다.
재무 실적 및 가이던스: 전 부문 실적 호조, 연간 전망 상향
3분기 총 매출은 전년 대비 31% 성장한 30억 달러를 기록했다. RPO(계약 잔액)는 184억 달러로 전년 대비 36% 증가했다(CyberArk 및 Chronosphere 제외 유기적 성장률 22%). 조정 잉여현금흐름은 전년 대비 57% 증가한 9억 1,000만 달러였으며, 최근 12개월 조정 잉여현금흐름 마진은 인수 비용을 포함하고도 전년 대비 430bp 개선된 38.5%를 기록했다. 비GAAP 기준 희석 주당순이익(EPS)은 0.85달러로 가이던스 상단을 0.05달러 상회했다. 매출총이익률은 75.8%였으며, 비GAAP 영업이익률은 M&A 통합 비용의 영향으로 전년과 동일한 21.3%를 기록했다. 주식 보상 비용은 인수 관련 보상으로 인해 매출의 17%까지 상승했으나, 경영진은 12~18개월 내에 이전 수준으로 회복될 것으로 내다봤다.
2026 회계연도 4분기 가이던스로는 NGS ARR 89억~89억 5,000만 달러(59~60% 성장), 매출 33억 4,500만~33억 5,500만 달러(32% 성장), 비GAAP EPS 0.96~0.98달러를 제시했다. 연간 전체로는 매출 114억 1,500만~114억 2,500만 달러(24% 성장), 비GAAP 영업이익률 28.9~29.2%, EPS 3.77~3.79달러, 조정 잉여현금흐름 마진 37.5%를 전망했다. 골레차 CFO는 2027 회계연도부터 네트워크 보안, Cortex, ID 부문별 매출을 공개하고, 통합이 성숙함에 따라 인수 기업별 별도 실적 공개는 중단할 것이라고 밝혔다.
플랫폼화 고객은 3분기 110개 순증을 포함해 약 2,280개에 달한다. 이 고객군에서 120%의 순유지율과 한 자릿수 이탈률이 지속되고 있다. 아로라 CEO가 NGS ARR 200억 달러 달성을 위한 핵심 동력으로 수차례 언급했던 '2030 회계연도까지 플랫폼화 고객 4,000개 확보' 목표는 순항 중이며, 현재의 유기적 성장세를 고려할 때 오히려 보수적인 수치일 가능성이 있다.