OKTA 기업 분석, 불황에 강한 보안 회사

OKTA, Inc.(OKTA) 기업 소개 및 역사

Okta, Inc.(이하 OKTA)는 2009년 설립된 보안 기업이다. 업계에서는 ‘Identity Provider’라고 하는데, 이해하기 쉽게 말하면 소셜 로그인와 같이 한 번의 로그인으로 다양한 애플리케이션을 로그인 없이 이용하게 해주는 기능을 제공하는 기업이다.

현재 CEO Todd McKinnon과 COO Frederic Kerrest가 설립자로써 여전히 경영 일선에서 활발히 활동하며 회사를 성장시키고 있다.

OKTA의 사업은 기본적으로 SaaS 비즈니스다. 웹이나 앱 개발을 해보지 않은 사람은 이 기업의 비즈니스 모델이 쉽게 와닿지 않을 것이다. 단, 필자는 어설프게나마 웹 앱을 개발한 경험이 있기에 OKTA의 비즈니스 모델을 대략적으로나마 이해할 수 있었다.

OKTA의 비즈니스 모델

웹사이트나 앱을 개발하고 운영하는 입장에서 로그인과 회원가입 기능은 필수다. 방문자(visitor)를 고객(customer)으로 만드는 아주 중요한 과정이기 때문이다. 유튜브 채널에서 그토록 구독과 좋아요를 강조하는 이유이기도 하다. 방문자를 가입시켜야지만 고객은 다시 방문하게 된다. 블로그도 마찬가지고 쇼핑몰도, 유튜브 채널도 마찬가지다. 문제는 가입 기능을 만드는 게 쉬운 일이 아니라는 것이다.

웹사이트에서 정말 단순한 회원 가입 기능을 만들기 위해 필요한 지식은 데이터베이스 기술, 암호화, 브라우저, 토큰에 대한 이해 그리고 회원 정보 변경 및 비밀번호 찾기, 탈퇴 등에 필요한 메일 서버 등 수도 없이 많다. 창업자(개발자) 입장에서는 백만달러짜리 아이디어를 실현시켜 줄 플랫폼을 개발하고 있는데, 회원 가입 기능을 만들기 위해 엉뚱한 데에 시간과 에너지를 써야 하는 것이다. 따라서 창업자는 이 번거롭지만 중요한 부분에 대해 매달 일정 금액을 내고 다른 기업에게 맡기는 게(외주를 주는 게) 편하다.

OKTA의 제품(Auth0, 2021년 3월 OKTA가 인수)은 단순히 로그인, 회원가입에서 그치지는 않는다. 한 번의 로그인 정보 등록으로 다양한 웹사이트에 로그인 없이 접속하도록 도와주기도 하고, 소셜 로그인 기능을 제공하기도 한다.

만약 필자의 위 설명을 듣고 OKTA의 서비스가 인디 개발자들만 이용할만한 것이라고 생각했다면 오해다. 연 $100,000 이상의 계약을 한 OKTA의 고객은 2024년 기준 4,485개 기업이며, 이 중에는 미쓰비시, 애플, CVS, McKesson, Ayala 등 전 세계의 초대형 기업도 있다. 이들 기업이 이용하는 서비스는 개발자와 소규모 기업이 이용하는 서비스와는 조금 다르다.

이들 기업이 이용하는 서비스는 ‘Workforce Identity Cloud’라는 사업 부문으로써, 고객사의 직원들이 고객사의 플랫폼을 이용(로그인)할 때 직원들의 신분을 인증해주고 로그인 계정에 따른 권한을 제한하는 기능이다. 고객사의 고객(Customer’s customer)을 대상으로 한 서비스(Auth0)가 아닌 고객사의 직원(Customer’s employee)을 대상으로 한 서비스라고 이해하면 크게 틀리지 않을 것이다.

OKTA의 논란

규모가 커지다보면, 항상 이슈가 생기기 마련. OKTA는 지난 수년 간 identity 인증 산업을 빠르게 재편하며 성장했는데, 몸집이 거대해지고 더 많은 사용자 정보를 지키게 됨으로써 자연스레 더 많은 해커들의 타깃이 되었다. OKTA가 처리하는 개인 정보의 양이 많아지며 악의적인 의도로 OKTA 해킹에 성공했을 때 얻을 수 있는 보상이 커진 것이다. 결국, 2023년 10월, 2022년 12월, 2021년 3월, 각각 해킹 관련 이슈가 발생했다.

마지막 사건인 2023년 10월에 있었던 개인정보 유출 사건을 간단하게 이야기해보자. 2023년 10월, OKTA의 서드 파티 고객 지원 기업인 Beyond Trust의 엔지니어가 사무실에서 자신의 개인 구글 계정에 로그인했다. 이 계정을 해킹하는데 성공한 해커는 OKTA 고객 18,400명에 대한 이메일과 실명을 다운로드 받았다. 위 사실을 Beyond Trust로부터 공지받고 OKTA의 경영진은 처음에는 피해 고객이 소수(1%)라고 이야기했으나 곧 “모든 고객”의 정보가 유출됐음을 인지했고 고객에게 이 사실을 모두 투명하게 알렸다.

시장의 반응은 냉정했다. 이 사건으로 OKTA의 주가는 크게 하락했다. 투자자들은 보안의 핵심인 “신뢰”를 잃었기 때문에 OKTA의 장기적인 전망이 어둡다고 본 것이다. 하지만 그로부터 1개월 가량 흐른 2023년 11월 29일, OKTA는 실적 발표에서 2024년 매출이 10% 성장해 $2.470B에 달할 것이라는 긍정적인 가이던스를 발표했고 주가는 금새 다시 상승했다. 시장에서는 더이상 OKTA의 해킹에 대해 크게 우려하지 않는 모습이다. 이 사건을 OKTA의 규모가 커지며 발생한, 어떻게 보면 피할 수 없는 에피소드라는 시각, 거기에 더해 이제는 너무나도 만연해진 개인 정보 유출에 대한 대중의 인식 변화 덕분(?) 인지도 모르겠다.

메가 트렌드

필자가 너무 앞서가는 지 모르겠지만, 투자자로써 지금은 경기 불황을 대비해야 할 때라고 생각한다. FED가 금리를 내릴 지 아니면 유지할 지는 모르겠지만, 몇 가지 경제 지표가 악화되고 있다. 높은 금리가 유지되며 미국의 실업률은 조금씩 오르고 있고 인플레이션도 서서히 안정화 되고, 어쩌면 너무 안정화되고 있다. 단, 여전히 부동산 가격은 상승 중이고, 경제도 AI 덕분에 잘 성장하고 있는 긍정적인 요소 또한 있지만, 향후 경제 성장에 위험 요소가 없는 건 아니다. 전력 인프라 문제로 AI 산업의 성장이 정체될 수도 있고, 높아지는 실업률로 내수시장이 침체되고 이 침체가 여러 사업에 전파될 수도 있다. 그리고 AI가 투자자들의 기대만큼 대단한 수요를 창출하지 못한다면 관련 기업의 주가 하락으로 금융시장의 침체도 있을 수 있다. 중국이나 러시아 등의 전쟁 가능성도 있다.

물론, 이 모든 어려움에도 성장하는 산업이 있을 것이다. 그런데 문제는 이 산업들 마저도 이미 주가가 너무 많이 올랐다.

따라서 필자의 생각하기로 지금은 ‘만약 경제가 나빠진다면 어떤 기업이 이익을 유지하고 성장할 수 있을까?’라는 생각을 해야 할 때가 아닐까? 그리고 그중 하나로 보안 산업 정도를 떠올리고 있다. 보안 산업은 근본적으로 경기 불황에 강한 편이다. 경제가 나빠진다고 보안에 쓸 돈을 크게 줄이지는 않는다. 게다가 점점 해킹과 사이버공격은 고도화되고 있으며 그 빈도 또한 잦아지고 있다. 경제가 침체된다고 해도 사이버 공격의 증가라는 메가트렌드는 꺾이지 않을 것이다.

Statistica Market Insights는 보안 시장이 향후 CAGR 7.92% 성장하여 2029년에는 그 규모가 $271.90b에 달할 것으로 예상했다. 너무 투기적인 예상인지 모르겠으나, 앞으로 미중 관계 그리고 유럽과 러시아의 관계가 악화될수록 사이버 보안 시장의 크기는 빠르게, 현재 시장에서 예상하는 속도보다 훨씬 더 빠르게 성장할 수도 있겠다고 생각한다.

OKTA의 실적 및 가이던스

OKTA의 최근 10년 실적을 보면, 매출은 빠르게 증가했는데, 영업이익은 여전히 적자다. 이 부분도 개선될 여지가 많다. 고금리로 인한 고객사들의 IT 관련 예산 감축이 예상되자 2023년부터 OKTA의 경영진은 비용 감축 및 경영 효율화에 집중하겠다고 선언했다.

이 전략의 성과가 조금씩 보이는데 그중 하나가 Non-GAAP 영업이익률이다. 2023년에 기록했던 Non-GAAP 영업이익 마진은 -1%로 적자였으나 2024년 1월 31일에 종료된 fiscal 2024년도 non-GAAP 영업이익 마진은 14%로 수익성이 크게 향상됐다.(-1% -> +14%) Fiscal 2025년 1분기 실적에서는 심지어 더 좋아졌는데, non-GAAP 영업이익 마진이 22%였다. 경영진은 fiscal 2025년에 19-20%의 마진을 기록할 것이라 제시했는데, 일부 애널리스트들은 2025년부터 ‘GAAP 영업이익 기준’ 수익성을 확보할 수도 있을거라 예상하고 있다.

투자자 입장에서 눈여겨 볼 지표 중 하나는 바로 RPO다. RPO 중에서도 current RPO 지표가 중요하다고 생각한다. RPO는 고객과의 계약으로 향후 매출로 인식될 예정인 액수를 말하며 ‘Current’ Remaining Performance Obligations는 향후 12개월 내 매출로 인식될 금액이다. 따라서 사실 상 주가의 흐름은 이 current RPO 전망에 따라 좌우된다고 볼 수 있다.

이 지표를 보면, 최근 수년 간 지속적으로 상승하다가 최근 다시 정체되는 모습이다. 경영진이 신제품 개발과 신규 고객 유입에 노력하기보다는 기존 제품의 cross-selling 및 up-selling에 더 집중한 결과다. OKTA의 매출 성장이 다소 더뎌진 대신, 수익성은 좋아진 이유이기도 하다.

OKTA의 주가 전망, 밸류에이션 및 의견

현재 OKTA의 주가는 FWD PE 39.01, 시가총액 $16.5에 거래되고 있다. 여전히 적자 상태이지만 FWD PE을 계산할 수 있는 이유는 2025년부터는 흑자 전환할 것으로 예상하기 때문이다. 경영진이 공식적으로 GAAP EPS 가이던스를 제시하진 않았지만, 애널리스트들은 2025년 $2.43, 2026년에는 $2.73의 EPS를 기록할 것으로 예상하고 있다.

필자가 얼마 전 적자를 기록하는 스타트업 수준의 기업 투자에 주의해야 한다고 포스팅을 남겼음에도 OKTA에 대해 긍정적으로 포스팅하고 있는 점에 다소 의아하게 생각하는 독자도 있을 것이다. 변명하자면 OKTA는 조금 다르다.

위의 그래프를 보자. OKTA의 매출액에 대한 FCF(Free Cash Flow)의 비율이다. 영업현금흐름이 양(+)의 모습을 보이는 것에 더해 FCF도 매우 훌륭하다. 매출액 대비 FCF를 보여주는 위 그래프에서 보듯, OKTA는 막대한 규모의 현금을 창출하는 비즈니스 모델을 보유하고 있는 것이다. TTM 기준의 시가총액/FCF를 보면 19.5배다. 적자를 기록 중인 기업을 적절히 평가하는 것은 어렵지만, 만약 OKTA와 같이 현금을 꾸준히 안정적으로 창출하는 비즈니스라면 꼭 그렇지 만은 않다.

직원 급여의 일부로 스톡옵션을 발행하여 발생하는 기존 주주의 희석도 상대적으로 양호한 편이다. 유통주식수는 최근 1년 간 3.5% 가량 늘어났을 뿐이다. 2021년 Auth0를 $6.5B의 밸류에이션으로 인수할 때 전액을 OKTA 주식을 지급하기 위해 대규모 주식을 발행한 적이 있다. 이 외에는 유통주식수의 증가 속도는 매우 양호하다. 한가지 여담을 하자면, Auth0 인수 자금 $6.5B에 대한 주식 발행 결정은 매우 탁월한 선택이었다. 이 결정은 2021년 3월 경 이루어졌는데, OKTA의 주가는 정확히 이 때를 고점으로 3년 반이 다 되어가도록 전고점을 돌파하지 못하고 있기 때문이다. 주가가 최고점일 때, 주식을 발행한 것이다.

OKTA의 주가는 어디로 흐를 것인가. OKTA는 마케팅 조직을 재구성하며 경영 효율화에 진심이다. 그 결과 각종 마진 지표가 점점 좋아지고 있다. 게다가 보안 시장의 전망도 좋다. 보안에 대한 IT 기업의 투자는 앞으로 계속해서 늘어날 것으로 전망된다. 특히 클라우드 기반의 서비스들이 점차 대중화되며 사용자 인증과 관련된 기업들의 투자가 더욱 늘어날 것으로 생각한다. 게다가 지정학적인 변수 또한 OKTA의 전망에 긍정적이며, 보안 산업은 경기 불황에도 강한 모습을 보일 가능성이 높은 산업이다.

경쟁사에 대한 조금 더 다양한 조사가 필요해 보이지만, 지금까지 조사한 바에 따르면 OKTA의 미래는 밝다. 단, 여전히 제대로된 손익계산서 흑자를 기록하지 못했다는 사실은 투자자들이 선뜻 매수버튼을 누르지 못하는 이유이기도 하는 동시에 리스크를 감수할 능력이 있는 투자자들에게는 기회가 될 수도 있겠다는 생각이다.