AI 에이전트도 '신분증'이 필요...옥타, AI 신원 보안 시장을 선점하다

에이전틱 AI의 시대가 도래했다.

이제 기업에서 가장 빠르게 늘어나는 직원은 사람이 아니다. AI 에이전트다. 마이크로소프트 코파일럿 스튜디오, 세일즈포스 에이전트포스, 그리고 이름 없는 수천 개의 자체 제작 봇들이 이메일을 분류하고, 보고서를 작성하고, 고객 응대를 처리한다.

이른바 '디지털 노동자'가 인력 시장을 빠르게 장악하고 있는 것이다.

그런데 문제가 있다. 기업들은 사람을 고용하기 전 이력서로 백그라운드를 확인하고 고용 이후에는 교육을 통해 회사의 보안 및 정책을 준수하도록 이끈다. 하지만 AI 에이전트는 이런 과정을 생략하고 곧바로 작업에 투입된다.

AI 에이전트의 확산 속도와 생산성의 증가는 경이롭지만 그보다 훨씬 더 빠른 속도로 보안의 공백이 벌어지고 있는 것이다. 이 '디지털 노동자'들이 인간 직원과 동일한 수준의 시스템 접근 권한을 가지고 있지만 그에 상응하는 신원 인증과 거버넌스는 거의 부재하다는 의미다.

실제 옥타(OKTA)의 자체 조사에 따르면 기업의 91%가 이미 AI 에이전트를 운용하고 있지만, 비인간 신원을 체계적으로 관리하는 시스템을 갖춘 기업은 단 10%에 불과하다. 이는 다른 의미로 90%의 기업이 사실상 통제 불능 상태의 디지털 인력을 가동하고 있다는 뜻이다.

AI 에이전트가 확산되면서 함께 떠오르는 키워드가 있다. 바로 '그림자 AI(Shadow AI)'다.

그림자 AI는 해킹이 아니고 내부자 위협도 아니다. 기업의 승인 없이 직원들이 자발적으로 사용하는 비인가 AI 도구가 만들어내는 구조적인 '보안의 공백'이다.

그리고 이 문제는 이미 '실체화'되고 있다. 실제로 수치가 이를 증명한다.

넷스코프의 2026년 보고서에 따르면 직원들이 민감 데이터를 AI 앱에 전송하는 케이스는 전년 대비 두 배로 증가했고 기업당 월평균 223건에 달한다. 가트너는 2030년까지 전체 기업의 40% 이상이 그림자 AI로 인한 직접적인 보안 또는 컴플라이언스 사고를 겪을 것이라 경고했다.

IBM의 2025년 데이터 침해 비용 보고서는 그림자 AI 관련 침해가 평균 30만 8000달러의 추가 비용을 발생시킨다고 집계했다. 에이전틱 AI가 생산성의 확산과 동시에 어쩌면 감당하지 못할 심각한 '보안의 공백'을 초래하는 셈이다.

여기서 주목해야 할 것은 이 문제의 성격이다.

그림자 AI는 단순히 직원들이 몰래 '챗GPT'를 쓰는 수준의 문제가 아니라는 점이다. 에이전트 시대로 접어들면서 누구든 코드 한 줄 없이도 자율적으로 시스템에 접근하는 디지털 워커를 만들어낼 수 있게됐다는 점이다.

기업 AI 사용의 90%가 개인 계정을 통한 비인가 경로로 이루어지고 있다. 그리고 이 에이전트들은 사람과 다르게 24시간 쉬지 않고 작동하며 여러 시스템에 걸쳐 높은 수준의 권한을 행사할 수 있다. 한번 침해당하면 그 피해 범위가 인간 사용자와는 차원이 다를 수 있다는 의미다.

문제는 AI 에이전트는 기존의 보안 시스템의 구조적 논리를 무시할 수 있다는 점이다.

과거 IT보안의 논리는 '이 조건이면 이 시스템에 접근한다'는 if-then(만일-그렇다면)의 구조였다. 방화벽과 VPN, 엔드포인트 보안 모두 이 논리 위에 있다. 하지만 LLM 기반의 에이전트는 동일한 프롬프트에도 매번 다른 시스템에 접근할 수 있고 어떤 수준의 권한을 행사할지 사전에 예측하기 어렵다.

AI 보안 문제는 결국 'ID 보안'으로 귀결된다. 에이전트가 누구를 대리해 행동하는지, 어떤 권한을 지녔는지, 어떤 데이터에 접근했는지를 추적하고 통제하는 것이 바로 에이전트 경제의 기초 인프라가 된다. 그리고 이 역량을 가장 오래, 그리고 가장 깊게 축적해온 기업이 바로 옥타(OKTA)다.

2017년 기업공개(IPO) 당시 옥타는 기업의 다양한 애플리케이션에 대한 싱글 사인온(SSO) 솔루션, 즉 한 번의 로그인으로 연결된 모든 프로그램에 접속이 허용되는 '디지털 프론트 도어'를 제공하는 업체였다. 하지만 현재 옥타가 구축하고 있는 시스템은 인간과 기계, 그리고 AI 에이전트를 아우르는 전체 신원의 통합 관리 플랫폼이다.

올해 2월 출시한 '에이전트 디스커버리(Agent Discovery)'는 이러한 구조적 전환의 신호탄이다.

옥타의 ISPM(Identity Security Posture Management) 플랫폼에 탑재된 이 기능은 기업 내부에서 비인가 상태로 운영되는 AI 에이전트를 실시간으로 탐지한다. 이를 통해 미승인 플랫폼에서 구축된 에이전트의 존재와 데이터 접근 권한, 그리고 잠재적 위험 반영을 매핑해 보안 시스템을 구축한다.

옥타에 따르면 마이크로소프트 코파일럿 스튜디오와 세일즈포스 에이전트포스에 대한 탐지 확장도 2027 회계연도 1분기 내 출시를 계획하고 있다.

이보다 더 중요한 진화는 'ISF(Identity Security Fabric)'다.

이 시스템은 인간 사용자와 서비스 계정, 그리고 AI 에이전트 등 모든 유형의 신원을 하나의 중앙 제어 플레인에서 관리하는 프레임워크다. 가트너는 2027년까지 이 신원 패브릭 원칙이 새로운 공격의 85%를 차단하고 ID 침해로 인한 기업의 재정적 영향을 80% 줄일 것이라 전망했다.

특히 옥타가 주도하는 '크로스 앱 액세스(XAA)' 프로토콜은 AI 에이전트와 애플리케이션 간 보안 연결을 표준화 해 보안 통제의 중심을 개별 앱에서 중앙 집중형 신원 시스템으로 확장한다.

요약하면 옥타는 더 이상 '로그인 솔루션 회사'가 아니라는 의미다. AI 에이전트가 기업 인프라의 표준 구성 요소가 되는 세계에서 에이전트의 신분증을 발급하고 관리하며 감시하는 역할로 진화한 것이다.

옥타의 최근 실적은 이 전략적 전환이 숫자로 입증되고 있음을 시사한다.

2025년 10월 마감된 3분기 매출은 7억 4200만 달러로 전년 대비 12% 성장하며 월가 컨센서스를 상회했다. 조정 주당순이익(EPS) 역시 82센트로 22%가 급증, 효율적인 비용 관리와 고마진 신제품이 수익성에 기여하기 시작했음을 입증했다.

하지만 이보다 더 의미있는 지표는 대형 고객의 집중도 확대다.

연간 계약 가치가 100만 달러 이상의 고객이 17%나 증가한 것이다. 이는 대기업들이 지금까지 분산됐던 보안 지출을 옥타 플랫폼으로 통합하는 트렌드가 가속화되고 있음을 의미한다. 실제 미래 이익을 보여주는 잔여수행의무(cRPO)는 23억 달러로 사상 최대치를 기록하며 향후 12개월 간의 매출 가시성이 이미 확보됐음을 보여줬다.

매출과 이익의 증가, 그리고 미래 수익에 대한 자신감을 적극적인 주주환원정책으로 수렴되고 있다. 회사는 10억 달러의 자사주 매입 프로그램을 발표하며 대차대조표에 대한 자신감을 드러내고 있다.

미래 전망도 상향 조정됐다. 옥타는 2026년 가이던스에서 연간 매출 성장률 11%, 영업어익률 26%, 잉여현금흐름 마진을 약 29% 제시하며 모든 수치를 더 높게 제시했다. 4분기 매출 가이던스는 7억 4800만 달러에서 7억 5000만 달러로 연간 10%의 성장과 EPS 84~85센트를 제시하고 있다.

3월 4일(현지시각) 발표되는 4분기 및 2026년 실적과 2027년에 대한 가이던스에 시장의 포커스가 집중되는 이유가 여기에 있다. 월가는 이번 실적을 통해 AI 에이전트 보안 매출이 반영되기 시작했는지 여부를 추적한다.

그럼에도 옥타의 주가는 52주 최고가 대비 약 35%나 하락했다.

소프트웨어의 붕괴라는 광범위한 추세에 함께 휩쓸리고 있기 때문이다. 역설은 바로 여기에 있다. AI 에이전트 폭풍이 몰아치는 지금 여기에 대응하는 옥타의 전략적 포지셔닝은 그 어느 때보다 강화되고 있다는 것이다.

특히 같은 보안 관련 솔루션을 제공하는 팔로알토의 40배나 크라우드스트라이크의 86배와 비교해 옥타의 선행 주가수익비율(PER) 23배는 뚜렷히 디스카운트되어 있다.

물론 디스카운트의 원인은 존재한다. 소프트웨어 섹터 전반의 밸류에이션 압축은 차치하고라도 2023년 보안 침해 사고 이후의 신뢰 회복 과정과 AI 보안이라는 새로운 성장 동력이 아직 실적에 본격적으로 반영되지 않았기 때문이다.

하지만 결국 이는 투자자들에게는 저가 매수의 기회로 다가온다.

미 최대은행인 JP모건의 브라이언 에섹스 애널리스트는 목표주가 121달러를 제시하며 현재가 대비 약 45%의 상승을 제시했다. 그는 옥타에 대해 "신원 보안의 전략적 중요성 확대의 최대 수혜자가 될 것"이라 평가하며 현재의 디스카운트가 구조적인 과소평가일 가능성을 시사했다.

여기에서 옥타의 핵심 경쟁 우위는 '퓨어 플레이' 신원 보안 전문 기업이라는 점이다.

이것이 무슨 의미인가? 마이크로소프트는 엔트라 ID(Entra ID)를 오피스 번들의 일부로 제공하지만 옥타는 모든 클라우드 공급자와 애플리케이션 화경에서 플랫폼 중립적인 접근을 유지한다. 이 중립성은 AI 에이전트 시대에 더 강력한 차별화 요소가 된다. AI 에이전트는 사실상 단일 벤더 생태계에 갇히지 않고 다양한 시스템을 넘나들 수 있기 때문이다.

테크 전문 투자펀드인 피크텐캐티털은 여기에서 한 발 더 나아간다. 이안 머레이 매니징 파트너는 옥타가 기술 생태계에서 수행하는 역할의 전략적 중요성 때문에 결국 다른 빅테크의 인수 대상이 될 가능성이 높다고 주장한다. 이는 옥타가 단순한 SaaS(서비스형 소프트웨어) 기업이 아니라, AI 인프라 생태계에서 대체가 어려운 위치를 선점했다는 월가의 인식을 반영한다.

물론 투자자에게 위험 요인도 존재한다. 기술적으로 옥타는 현재 50일 및 200일 이동평균선을 모두 하회하고 있어 대세 하락장에 진입했음을 시사하고 있기 때문이다. 따라서 단기적으로는 50일 이평선이 위치한 88달러 이상의 회복이 확인되고 200일 이평선을 다시 회복하기 전까지는 기술적으로 보수적인 접근이 필요하다.

펀더멘탈 측면에서는 위에 언급한대로 결국 AI 보안 부문의 수익화 속도가 관건이다.

옥타는 현재 100개 이상의 고객과 AI 보안 이니셔티브를 논의 중이라고 밝혔지만 이것이 얼마나 빠르게 매출로 전환되는지가 결국 밸류에이션 리레이팅을 결정하는 핵심 조건이 될 것이다.

에이전틱 AI의 등장은 소프트웨어 산업에는 가장 큰 위기이자 기회가 되고있다.

옥타 역시 소프트웨어 산업의 전반적인 약세에 함께 무너지고 있는 기업이다. 하지만 수십만 개의 AI 에이전트가 기업 시스템을 자율적으로 탐색하고, 데이터를 처리하고, 의사결정을 실행하는 세계에서 과연 누가 그 모든것을 추적할 것인가를 감안하면 옥타의 잠재성은 거대하다.

1990년대 인터넷의 관문은 네트워크 보안이었고 2010년대 SaaS 혁명의 관문이 클라우드 보안이었다면 2020년대 에이전트 경제의 관문은 AI의 ID, 즉 '신원 보안'이다. 옥타의 AI 플랫폼은 AI 시대의 게이트기퍼가 될 수 있는 잠재력을 가지고 있다.

현재 옥타의 밸류에이션은 아직 이 거대한 전환의 깊이와 잠재력을 가격에 반영하지 못하고 있다. 하지만 투자자들이 현재 이 국면에서 물어야 할 질문은 '옥타가 과연 회복할 수 있을 것인가'가 아니라 'AI 에이전트의 시대에서 AI 신원 보안없이 시스템이 작동할 수 있는가'이다.