사이버보안 ETF는 보안 산업을 사는 상품인가, 디지털 리스크를 사는 상품인가
- 사이버보안 ETF는 해킹 사고 증가에 단순히 베팅하는 상품인가?
- 같은 사이버보안 ETF라도 CIBR은 인프라를, BUG는 순수 보안 소프트웨어를, IHAK은 기술 생태계에 초점을 맞춤
- 보안은 필수 지출이 되었지만, 사이버보안 ETF는 디지털 리스크를 자본시장이 가격화한 상품
사이버보안은 더 이상 기업이 선택적으로 집행하는 IT 프로젝트가 아니다. 클라우드 전환, 생성형 AI 도입, 공급망 연결, 원격 근무, 국가 간 사이버 작전이 동시에 확대되면서 기업은 보안을 운영의 기본 조건으로 받아들이기 시작했다. 세계경제포럼은 Global Cybersecurity Outlook 2026에서 2026년 사이버 리스크가 AI 발전, 지정학적 분열, 공급망 복잡성에 의해 가속되고 있다고 설명했다. 사이버보안은 이제 기술 부서 안에서만 처리할 문제가 아닌, 기업 경영진이 운영 지속성, 규제 대응, 투자자 신뢰와 함께 다뤄야 하는 전략적 리스크가 되었다.
자본시장도 이 변화를 하나의 상품 구조로 반영하고 있다. First Trust NASDAQ Cybersecurity ETF(CIBR), Amplify Cybersecurity ETF(HACK), iShares Cybersecurity and Tech ETF(IHAK), Global X Cybersecurity ETF(BUG), WisdomTree Cybersecurity Fund(WCBR), 그리고 국내 상장 TIGER 글로벌AI사이버보안 같은 상품이 바로 금융시장에 나타난 사이버보안 관련 금융 상품이다. 그러나 이 ETF들이 담고 있는 산업이 서로 같지 않다. 어떤 ETF는 보안을 네트워크와 반도체가 결합한 인프라로 보며 어떤 ETF는 보안을 클라우드 소프트웨어 성장주로 본다. 또 어떤 ETF는 보안을 AI 시대의 데이터 보호 체계와 기술 지원 기업까지 포함하는 넓은 생태계로 본다. 따라서 사이버보안 ETF를 이해하려면 “어떤 ETF가 더 좋은가”보다 각각의 ETF는 사이버보안을 무엇으로 정의하는가? 라는 질문들 던져야 한다.
해킹은 비용으로, 비용은 산업으로
기업 입장에서 보안은 점점 줄이기 어려운 비용이 되고 있다. 금융, 의료, 통신, 에너지, 클라우드, 공공 부문에서 보안은 서비스 운영의 전제 조건이다. 보안 예산을 줄인다는 것은 단순히 IT 비용을 줄인다는 뜻이 아니다. 그것은 고객 데이터, 결제 시스템, 내부 업무망, 공급망 연결, 규제 대응 체계를 더 큰 위험에 노출한다는 뜻에 가깝다.
규제기관도 이런 변화를 강화한다. 미국 증권거래위원회는 상장사가 중대한 사이버 사고를 중요하다고 판단하면 4영업일 이내에 이를 공시해야 한다고 설명한다. 이는 사이버 사고가 더 이상 내부 기술 부서에서 조용히 처리할 문제가 아니며, 투자자가 알아야 할 기업 리스크라는 뜻으로 풀이할 수 있다. 유럽의 NIS2 지침 역시 더 많은 산업과 중요 기업에 사이버 리스크 관리와 사고 보고 의무를 요구한다. 보안은 기술 통제를 넘어 기업 거버넌스의 일부가 되고 있다.
이 흐름만 보면 사이버보안 ETF는 매우 직관적인 상품처럼 보인다. 침해사고와 보안사고의 가능성이 높아지면 기업은 보안 지출을 늘린다. 이에 따라 보안 기업은 매출을 올리고 결국 ETF 가격이 오르는 구조로 이어진다. 그러나 실제 시장은 이렇게 단순하게 움직이지 않는다. 침해 사고는 수요를 만들 수 있지만, ETF 가격은 그 수요만 반영하지 않는다. 금리, 성장주 밸류에이션, 대형 인프라 기업 편입 비중, 지수 설계, 포트폴리오 집중도, 유동성까지 함께 반영한다. 이 때문에 사이버보안 ETF는 보안 산업의 성장성을 담는 동시에, 기술주 시장의 변동성도 함께 담는다. 이 점을 놓치면 ETF는 보안 산업을 이해하는 도구가 아닌, 오히려 착시를 만드는 상품이 된다.
같은 ETF가 담고 있는 서로 다른 산업
CIBR은 이 착시를 잘 보여준다. First Trust의 공식 자료에 따르면 CIBR은 총보수율 0.58%, 순자산 약 128억 달러, 보유 종목 42개 규모의 대형 사이버보안 ETF다. 상위 보유 종목을 보면 CrowdStrike, Palo Alto Networks, Fortinet 같은 보안 기업이 높은 비중을 차지한다. 그러나 그 아래에는 Cisco와 Broadcom도 큰 비중으로 들어간다. 이 구성은 중요한 의미를 갖는다. CIBR은 사이버보안을 순수 보안 소프트웨어 산업으로만 보지 않는다. CIBR은 보안을 네트워크 장비, 반도체, 클라우드 연결, 애플리케이션 전송, 데이터 관찰성이 결합한 디지털 인프라 문제로 해석한다. 그래서 CIBR에 투자한다는 것은 CrowdStrike나 Palo Alto Networks 같은 보안 기업만 사는 일이 아니다. 보안 기능을 포함한 대형 기술 인프라까지 함께 사는 일에 가깝다.
HACK도 마찬가지다. HACK은 2014년 상장한 초기 사이버보안 ETF이며, 총보수율은 0.60%다. 이 상품은 “최초의 사이버보안 ETF”라는 상징성을 갖지만, 이를 순수 SaaS 보안 기업 묶음으로 보면 핵심을 놓친다. HACK 역시 하드웨어, 소프트웨어, 서비스, 대형 기술 기업을 함께 담는다. 여기서 사이버보안은 특정 소프트웨어 제품군이 아니라 기업 보안 생태계 전체를 가리킨다.
이와 같은 차이들은 단순한 편입 종목 차이가 아닌 ETF 지수를 통해 각각의 ETF가 바라보는 산업 정의로 이해할 수 있다. CIBR과 HACK은 사이버보안을 넓은 인프라 문제로 해석한다. 이 구조는 하락장에서 상대적으로 안정성을 줄 수 있지만, 동시에 순수 보안 소프트웨어 성장성에 대한 직접 노출은 낮출 수 있다. 결국 투자자는 “사이버보안 ETF”라는 이름만 보고 같은 리스크를 샀다고 생각할 수 있지만, 실제로는 서로 다른 산업 조합과 서로 다른 변동성을 산다.
Pure-play는 선명하지만...
반대로 BUG는 사이버보안 테마의 순도를 더 높인 상품에 가깝다. Global X는 BUG를 사이버보안 기업에 투자하는 ETF로 설명하며, 공식 자료에서 총보수율 0.50%, 2019년 10월 25일 상장, 사이버보안 지출 증가를 장기 성장 요인으로 제시한다. Global X는 사이버보안 지출이 2024년 1,780억 달러에서 2030년 4,500억 달러 이상으로 증가할 수 있다는 전망도 함께 제시한다. BUG의 핵심은 “Pure-play”에 있다. 여기서 Pure-play는 특정 산업이나 테마에서 매출의 상당 부분을 얻는 기업에 집중하는 방식을 뜻한다. 사이버보안 ETF에서는 보안 매출 비중이 높은 기업을 중심으로 포트폴리오를 구성하는 방식이라는 것이다. 이 방식은 테마 노출을 선명하게 만든다. Fortinet, CrowdStrike, Palo Alto Networks, Zscaler, Okta 같은 기업의 비중이 커질수록 ETF는 보안 소프트웨어 산업의 성장성을 더욱 직접적으로 반영한다.
그러나 Pure-play ETF가 보안 산업의 성장성이 강하게 반영하는 반면, 금리 상승기나 성장주 조정기에는 더 크게 흔들릴 수 있다. 보안 수요가 장기적으로 강하다는 사실과 특정 보안 성장주의 현재 주가가 적정하다는 판단은 서로 다른 문제다. 기업이 보안 예산을 늘려도, 시장은 그 기업의 매출 성장률, 이익률, 밸류에이션, 경쟁 압력, AI 전환 능력을 따로 평가하기 때문이다.
WCBR은 이 논리를 또 다른 방식으로 보여준다. WCBR은 총보수율 0.45%로 비교적 낮지만, CIBR보다 순자산 규모가 작고 거래 유동성도 주의해서 살펴야 한다. 이 상품은 마치 혁신 보안 기업의 모습을 보여주지만, 규모가 작은 ETF가 갖는 스프레드와 거래 비용의 문제를 함께 안는다. 즉 낮은 보수율이 곧 낮은 비용 전체를 의미하지는 않는다.
이 대목에서 중요한 것은 상품 추천이 아니다. 중요한 것은 같은 사이버보안 ETF라도 어떤 상품은 안정적인 인프라 성격을 더 많이 담고, 어떤 상품은 순수 보안 소프트웨어 성장주의 변동성을 더 많이 담는다는 점이다. 그러므로 ETF의 수익률 차이는 우연히 발생하지 않고 각 ETF가 사이버보안을 다르게 정의하면서 나타나는 결과이다.
Pure-play는 특정 산업이나 테마에서 매출의 상당 부분을 얻는 기업에 집중하는 투자 방식을 뜻한다. 사이버보안 ETF에서는 보안 매출 비중이 높은 기업을 중심으로 포트폴리오를 구성하는 방식을 의미한다.
보수율보다 중요한 것은 ‘보안의 정의’
IHAK은 이 논리를 비용의 관점에서 다시 보여준다. BlackRock의 iShares Cybersecurity and Tech ETF인 IHAK은 총보수율 0.47%를 제시한다. 이는 CIBR 0.58%, HACK 0.60%보다 낮다. BlackRock 공식 자료는 IHAK을 사이버보안과 관련 기술 기업들을 담고 있는 ETF이다. 보수율만 보면 IHAK은 비용 효율적인 상품처럼 보인다. 그러나 ETF를 보수율만으로 비교하면 가장 중요한 질문을 놓친다. IHAK이 담는 것은 순수 보안 소프트웨어 기업만이 아니다. 이 상품은 보안을 가능하게 하는 기술 기업까지 포함한다. 다시 말해 보안을 제품군이 아니라 기술 생태계로 본다.
이 차이는 투자 판단보다 먼저 산업 해석의 문제다. 사이버보안을 소프트웨어로 볼 것인가? 네트워크 인프라로 볼 것인가? AI 시대의 데이터 보호 체계로 볼 것인가? 클라우드와 엔드포인트, ID와 접근통제, 데이터 관찰성과 자동화 대응을 모두 포함하는 운영 체계로 볼 것인가? ETF의 포트폴리오는 이 질문에 대한 지수 제공자의 답이다.
그래서 보수율은 필요하지만 충분하지 않다. CIBR의 0.58%, HACK의 0.60%, IHAK의 0.47%, BUG의 0.50%, WCBR의 0.45% 이라는 보수율은 모두 중요한 숫자다. 그러나 이 숫자만으로 ETF의 성격을 설명할 수는 없다. 오히려 보수율은 비용으로, 지수 설계는 세계관으로 이해한다면 사이버보안 ETF를 조금더 효과적인 이해할 수 있을 것이다.
국내 투자자에게 TIGER 글로벌AI사이버보안
국내 투자자에게는 TIGER 글로벌AI사이버보안도 중요한 선택지다. 이 상품은 국내 계좌에서 글로벌 사이버보안 기업에 접근할 수 있는 통로를 제공한다. 해외 ETF 직접 투자와 비교하면 환전, 거래 편의성, 연금 계좌 활용 가능성 등에서 국내 투자자에게 익숙한 구조를 갖는다. 그러나 접근성이 곧 안정성을 의미하지는 않는다. TIGER 글로벌AI사이버보안은 Indxx Cybersecurity 지수 계열의 순수 보안 테마형 상품에 가깝다. 이 구조는 보안 매출 비중이 높은 기업에 더 집중하는 방향으로 작동한다. 따라서 이 상품은 국내 투자자에게 편의성을 제공하지만, 동시에 Pure-play 계열 지수가 갖는 집중도와 변동성도 함께 가져온다.
TIGER 글로벌AI사이버 보안을 “BUG의 국내 버전”이라는 표현은 설명에는 편하지만, 보다 정확하게는 “Indxx Cybersecurity 지수 계열의 국내 상장 사이버보안 테마 ETF”라고 설명하는 편이 좋다. 국내 투자자에게 중요한 질문은 이 상품이 해외 ETF보다 편한가에 그치지 않는다. 이 상품이 담는 사이버보안의 정의가 자신이 생각하는 보안 산업과 일치하는지, 그리고 그 집중도와 변동성을 감당할 수 있는지가 더 중요하다. 투자자는 이 부분을 생각하며 투자를 결정해야 한다.
침해 사고 발생과 ETF 움직임
사이버보안 ETF를 이해할 때 가장 놓치기 쉬운 부분은 시간차다. 침해 사고는 갑자기 발생한다. 시스템은 멈추고, 데이터는 유출되며, 고객과 규제기관은 설명을 요구한다. 하지만 그 사고가 곧바로 보안 기업의 매출로 이어지지는 않는다. 대기업의 비용 지출 절차가 그렇게 간단으며 각 기업들마다 갖고 있는 의사결정 프로세스가 있기 때문이다. 결국 즉시 보안 솔루션 구매로 이어지지 않으며 위험 평가, 예산 편성, 기술 검토, PoC, 조달, 계약, 구축, 운영 전환을 거치면서 서서히 보안기업의 매출로 이어진다. 결국 침해사고과 ETF 움직임의 시차가 발생한다.
SaaS 기반 보안 기업은 반복 매출 구조를 통해 장기적으로 예측 가능한 현금흐름을 만들 수 있다. 그러나 반복 매출 구조는 사고와 매출 인식 사이에 시차도 만든다. 오늘 발생한 사고가 내일 ETF 가격에 바로 반영된다고 보기 어렵다. 시장은 “보안이 중요해졌다”는 사실만 보안 제품과 서비스를 구매하지 않는다. 시장은 그 중요성이 어느 기업의 매출로, 어느 시점에, 어느 정도의 마진으로 전환되는지를 따로 계산한다.
이 때문에 “사이버 사고가 늘었는데 왜 ETF는 부진했는가”라는 질문은 이상한 질문이 아니다. 오히려 이 질문이 사이버보안 ETF의 본질을 드러낸다. 보안 수요는 산업의 하단을 지지한다. 그러나 ETF 가격은 그 위에 금리, 밸류에이션, 유동성, 포트폴리오 구성이라는 시장의 논리를 덧씌운 결과다.
보안 기업은 보호자 & Single Point of Failure
사이버보안 ETF는 성장성만 담지 않는다. 보안 플랫폼 집중에 따른 시스템 리스크도 함께 담는다. 2024년 7월 CrowdStrike 업데이트 오류는 이 문제를 전 세계에 보여줬다. Microsoft는 약 850만 대의 Windows 기기가 CrowdStrike 관련 장애의 영향을 받았다고 밝혔다. 이 장애는 항공, 방송, 의료, 금융 등 여러 부문에 영향을 미쳤다. 이 사건은 보안 기업이 디지털 인프라 깊숙한 곳에 들어가면서 어떤 일이 벌어질 수 있는지를 보여준다.
엔드포인트 보안 제품은 운영체제 가까운 지점에서 작동하고, 클라우드 보안 도구는 데이터 흐름을 관찰하며, ID 보안 솔루션은 접근 권한을 통제하면서 보안 기업은 고객을 보호하기 위해 고객 시스템의 가장 민감한 층으로 들어간다. 바로 이 점 때문에 성공한 보안 플랫폼은 동시에 Single Point of Failure이 될 수 있다. 고객이 많고, 설치 범위가 넓고, 운영체제나 클라우드 인프라와 깊게 연결될수록 작은 오류도 큰 장애가 된다. 결국 사이버보안 ETF가 CrowdStrike, Palo Alto Networks, Fortinet, Zscaler, Cloudflare 같은 기업을 높은 비중으로 담는다는 것은 보안 산업의 성장성을 담는 동시에, 플랫폼 집중 리스크도 함께 담는다는 뜻이다.
결론 : 사이버보안 ETF는 불안정한 리스크를 수익화하는 상품
사이버보안 산업의 장기 수요는 강하다는 사실을 부정할 수 없을 것이다. 기업은 디지털 전환을 멈추기 어렵고, AI 도입은 Attack Surface을 넓히며, 규제는 보안 통제와 사고 보고를 점점 더 명확하게 요구한다. 이와 같은 배경이 사이버보안 ETF는 앞으로도 매력적인 테마처럼 보이도록 한다.
그러나 사이버보안 산업의 성장은 사이버보안 ETF의 안정성을 보장하지 않는다. 보안 사고가 늘어난다고 모든 보안 기업의 주가가 오르지는 않는다. 따라서 사이버보안 ETF를 볼 때 필요한 질문은 “무엇을 사야 하는가”가 아니다. 질문은 더 근본적이어야 한다. 이 ETF는 사이버보안을 무엇으로 번역하는가? 보안 소프트웨어인가? 네트워크 인프라인가? 클라우드 운영 체계인가? AI 시대의 데이터 보호 시스템인가? 등을 생각해야 한다. 그리고 투자자들은 앞선 질문에 답을 구하기 위해 ETF의 포트폴리오를 살펴보고 이해한 뒤에 투자를 결정해야 한다.
Related Materials
- World Economic Forum, Global Cybersecurity Outlook 2026, 2026
- World Economic Forum, Global Cybersecurity Outlook 2026 PDF, 2026
- IBM, Cost of a Data Breach Report 2025, 2025
- U.S. SEC, Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure, 2023
- European Commission, NIS2 Directive, 2023
- First Trust, First Trust NASDAQ Cybersecurity ETF (CIBR), 2026
- Amplify ETFs, Amplify Cybersecurity ETF (HACK), 2026
- BlackRock iShares, iShares Cybersecurity and Tech ETF (IHAK), 2026
- Global X, Global X Cybersecurity ETF (BUG), 2026
- Global X, Indxx Cybersecurity Index Methodology Summary, 2023
- WisdomTree, WisdomTree Cybersecurity Fund (WCBR), 2026
- 미래에셋자산운용, TIGER 글로벌AI사이버보안, 2026
Donghwi Shin
문가용 기자
