[Startup 분석] Aikido Security

Aikido Security를 지금 봐야 하는 이유는 단순하다. AI가 코드를 더 빨리 만들수록, 보안은 더 늦게 따라가고 있기 때문이다. 기존 AppSec 시장은 스캐너, 클라우드 보안, 펜테스트, 런타임 방어가 잘게 쪼개져 있었는데, Aikido는 이 조각난 시장을 하나의 개발자 중심 워크플로로 묶겠다고 나섰다. 2026년 1월 14일 Aikido는 10억 달러 밸류에이션으로 6000만 달러 시리즈 B를 유치했고, 3월에는 매 배포마다 자동으로 침투 테스트를 돌리는 Aikido Infinite를 공개했다. 지금 이 회사가 주목받는 이유는 “보안도 에이전트가 돌린다”는 테마를 가장 상업적으로 밀어붙이는 플레이어 중 하나이기 때문이다.

왜 지금 주목받는가?

Aikido는 개발자 보안 시장의 두 가지 흐름 위에 서 있다. 첫째, AI 코딩 도구 확산으로 코드 생산량이 늘면서 보안 검토 병목이 심해지고 있다. 둘째, 기업들은 여전히 SAST, SCA, CSPM, DAST, 펜테스트를 서로 다른 벤더로 사오는데, 이 구조는 비용과 노이즈를 동시에 키운다.

이 지점에서 Aikido의 메시지는 분명하다. “도구를 하나 더 추가하자”가 아니라 “찢어진 AppSec 스택을 하나로 합치자”는 것이다. 이 포지셔닝은 특히 보안 전담 인력이 얇은 스타트업과 중견 SaaS 회사에 먹히기 쉽다.

2026년 1월 14일 시리즈 B 6000만 달러, 밸류에이션 10억 달러
회사 발표 기준 2025년 한 해 매출 5배 성장, 고객 수 3배 이상 확대
홈페이지 기준 5만+ 조직, 10만+ 개발자에게 도달했다고 주장
2026년 3월 기준 “배포마다 자동 펜테스트” 제품까지 확장

Aikido Security는 어떤 회사인가?

Aikido Security는 2022년 벨기에 겐트에서 설립된 DevSecOps 스타트업이다. 핵심은 보안을 CISO 구매 품목이 아니라 개발팀 워크플로 안으로 밀어 넣는 것이다. 실제 제품 구조도 이 철학을 그대로 따른다.

/code: SAST, AI SAST, 의존성 스캔, 시크릿 탐지, 라이선스·노후 소프트웨어 점검
/cloud: CSPM, VM 스캐닝, 컨테이너·K8s 스캐닝, IaC 점검
/attack: AI 기반 침투 테스트와 연속형 펜테스트
/protect: 런타임 보호, 봇 방어, 공급망 보호

중요한 점은 Aikido가 “스캔해서 알려주는 툴”을 넘어서, 확인된 취약점에 대해 패치와 재테스트까지 연결하려 한다는 점이다. 이 회사가 말하는 self-securing software는 결국 보안을 티켓 백로그가 아니라 배포 파이프라인 안의 자동 루프로 바꾸겠다는 이야기다.

투자 유치와 밸류에이션, 숫자는 어떻게 봐야 할까?

공식 발표에 따르면 Aikido는 2026년 1월 14일 DST Global 주도로 6000만 달러 시리즈 B를 유치했고, 밸류에이션은 10억 달러다. 기존 투자자인 PSG Equity, Singular, Notion Capital 등이 참여했다. 회사는 이 라운드를 유럽에서 가장 빠른 사이버보안 유니콘 중 하나라는 서사로 포장했다.

문제는 절대 매출 규모가 공개되지 않았다는 점이다. 회사는 “지난 1년간 매출 5배 성장, 고객 수 3배 이상 성장”이라고만 밝혔다. 따라서 밸류에이션이 싼지 비싼지를 정확히 보려면 ARR이 필요하지만, 현재 공개 자료만으로는 그 숫자가 없다.

그럼에도 시장이 높은 가격을 붙인 이유는 읽힌다. 이 회사는 단일 포인트 솔루션이 아니라 보안 통합 플랫폼, 더 나아가 AI 펜테스트 자동화까지 묶는 확장 스토리를 갖고 있다. 투자자 입장에서는 “작은 AppSec 툴”보다 “개발자 중심 보안 운영체제”에 베팅한 셈이다.

핵심 제품은 무엇이고, 왜 다르게 보이나?

표면적으로 보면 Aikido는 이미 crowded한 카테고리에 있다. SAST는 Semgrep과 GitHub Advanced Security가 있고, 클라우드 보안은 Wiz 같은 강자가 있으며, 펜테스트 자동화는 수많은 신생 벤더가 달려든다. 그런데 Aikido의 차별화는 각 기능의 최고 성능을 주장하는 것이 아니라, 개발자가 실제로 쓰게 만드는 패키징에 있다.

가장 흥미로운 제품은 Aikido Infinite다. 회사 설명대로라면 이 제품은 staging 배포가 일어날 때마다 바뀐 코드와 영향받는 표면을 분석해 자동으로 스코프를 잡고, 에이전트가 취약점 검증, 패치 생성, 재테스트까지 수행한다. 여기서 중요한 것은 “이론적 취약점”이 아니라 실제 exploit 가능한 취약점만 남기겠다는 주장이다.

배포 트리거 기반 연속형 펜테스트
실제 exploit 검증 후 finding 정리
머지 가능한 PR 형태의 패치 제안
코드 변경이 없는 영역은 건너뛰고 바뀐 표면을 집중 공략

이 접근이 먹히면 보안팀은 “모든 걸 직접 테스트하는 조직”이 아니라 “가장 중요한 영역만 사람이 보고 나머지는 에이전트가 커버하는 조직”으로 바뀐다. 지금 시장이 듣고 싶어 하는 메시지와 꽤 정확히 맞아떨어진다.

돈은 어디서 버는가?

Aikido는 드물게 가격을 꽤 투명하게 공개한다. 2026년 6월 10일 공개 가격 페이지 기준으로, Developer 플랜은 무료이며 2명 사용자와 10개 저장소를 제공한다. Basic은 월 300달러부터, Pro는 월 600달러부터 시작하며 둘 다 기본 10명 사용자 단위다. Enterprise는 별도 협의다.

이 가격 구조는 몇 가지를 말해준다. 첫째, 프리미엄으로 개발자 유입을 만들고, 팀 확장과 보안 범위 확장으로 업셀하는 제품 주도 성장(PLG) 모델이다. 둘째, 과금 축이 “저장소 수, 도메인 수, 클라우드 계정 수, 보호 요청 수”처럼 실제 사용량과 연결돼 있어, 고객이 커질수록 ARPU가 자연스럽게 오른다. 셋째, 퍼블릭 클라우드 마켓플레이스 구매를 열어둬 엔터프라이즈 구매 장벽을 낮추고 있다.

Developer: 무료, 2 users, 10 repos
Basic: 월 300달러부터, 10 users 기준, 100 repos 포함
Pro: 월 600달러부터, 10 users 기준, 200 repos 포함
상위 플랜일수록 클라우드 계정, VM 그룹, AutoFix, 보호 요청량이 함께 증가

즉 이 회사는 “툴 판매”보다는 “개발 조직 보안 범위 전체를 점유하는 좌석+사용량 결합형 SaaS”로 가고 있다. 투자자가 좋아할 수밖에 없는 구조다.

시장과 경쟁 구도는 어떻게 보나?

경쟁은 생각보다 복잡하다. Aikido는 한 회사처럼 보이지만 실제로는 여러 시장과 동시에 부딪힌다.

코드 보안: Semgrep, Snyk Code, GitHub Advanced Security
오픈소스·공급망 보안: Snyk, Socket, Mend
클라우드 보안: Wiz, Orca, Lacework 계열 플레이어
침투 테스트 자동화: Horizon3.ai, Detectify, 수작업 펜테스트 대체 벤더들

이 구조에서 Aikido의 강점은 “각 영역 1등”이 아니라 “개발팀이 굳이 다섯 개 벤더를 안 사도 되는 번들”이라는 점이다. 특히 보안팀보다 개발팀이 더 강한 회사, 또는 CISO 조직이 아직 크지 않은 유럽·중견 SaaS 기업에서 강하게 먹힐 수 있다.

반대로 약점도 분명하다. 엔터프라이즈 상위 시장으로 올라갈수록 각 영역의 베스트 오브 브리드가 살아 있고, 특히 클라우드 보안이나 런타임 보안은 단순 번들만으로 뚫기 어렵다. 결국 Aikido는 “충분히 좋은 통합 제품”으로 빠르게 확장해야 한다.

이 밸류에이션은 말이 되는가?

현재 공개된 숫자만 보면, 10억 달러 밸류에이션은 절대적으로 싸다고 말하기 어렵다. ARR이 공개되지 않았기 때문이다. 다만 시장이 이 회사를 평가하는 방식은 전통적인 AppSec 멀티플보다 조금 다를 가능성이 크다.

투자자는 아마 세 가지에 가격을 붙였을 것이다.

개발자 친화적 PLG 모션이 실제 고객 확장으로 이어지고 있다는 점
코드, 클라우드, 런타임, 펜테스트를 묶는 플랫폼 확장성
AI 펜테스트와 AutoFix가 만들어낼 추가 업셀 가능성

내 판단으로는 이 밸류에이션은 “현재 실적”보다는 “카테고리 통합 승자” 가능성에 베팅한 가격에 가깝다. 쉽게 말해 지금 당장 엄청난 현금창출력을 샀다기보다, Snyk 이후의 개발자 보안 플랫폼 자리를 누가 먹을지를 선점해서 산 가격이다.

가장 큰 리스크는 무엇인가?

가장 큰 리스크는 역설적으로 제품 범위가 너무 넓다는 점이다. Aikido는 거의 모든 AppSec 카테고리를 건드린다. 이 전략은 번들 효과를 만들 수 있지만, 동시에 각 카테고리에서 “깊이 부족” 평가를 받을 위험이 있다.

제품 깊이 리스크: 통합은 좋지만 각 모듈이 전문 벤더 대비 약하면 대형 고객 유지가 어렵다.
브랜드 리스크: “노이즈 없는 보안”을 약속한 회사가 오탐이나 미탐을 크게 내면 신뢰가 빠르게 깨질 수 있다.
플랫폼 리스크: GitHub, GitLab, Microsoft, AWS 같은 플랫폼이 기본 보안 기능을 더 강하게 번들링할 가능성
AI 과장 리스크: 에이전트형 펜테스트가 실제 현업에서 얼마나 재현성과 책임성을 갖는지 아직 검증 구간이 남아 있다.

특히 Microsoft와 GitHub는 무시하기 어렵다. 개발자 워크플로의 관문을 이미 쥐고 있기 때문이다. 만약 코드 보안, 시크릿 탐지, PR 리뷰, 런타임 보호가 플랫폼 안에서 더 매끄럽게 묶이면 Aikido의 독립적 가치 제안은 압박을 받을 수 있다.

결국 이 회사는 툴인가, 플랫폼인가?

내 답은 “아직은 강한 번들형 툴, 하지만 플랫폼이 되려는 중”이다. 플랫폼이 되려면 두 가지가 필요하다. 첫째, 고객이 이 제품 안에 더 많은 시스템을 연결할수록 빠져나오기 어려워야 한다. 둘째, 단순 탐지보다 remediation과 workflow orchestration에서 핵심 허브가 되어야 한다.

Aikido는 이미 그 방향으로 움직인다. 가격 구조는 저장소, 클라우드, 도메인, VM, 보호 요청을 묶고 있고, 제품은 finding을 PR과 재테스트까지 연결한다. 즉 보안 대시보드가 아니라 개발 운영 흐름에 들어가려는 것이다.

다만 진짜 플랫폼 판별은 앞으로 2년 안에 날 것이다. 고객이 “SAST 하나 더 깔았다”가 아니라 “보안 운영 자체를 Aikido 위에서 굴린다”라고 말하기 시작하면, 이 회사는 유니콘을 넘어 장기 승자로 갈 수 있다.

개인적 판단: Aikido가 비싸 보이지만 무시하기 어려운 이유

나는 Aikido를 과소평가하기 어려운 회사라고 본다. 이유는 기술 자체보다 포지셔닝이 좋기 때문이다. 보안 업계는 오랫동안 복잡함을 팔아왔는데, Aikido는 복잡함을 줄인다는 메시지로 성장했다. 이건 개발자 시장에서 꽤 강력하다.

동시에 신중하게 봐야 한다. 아직 공개 자료상 절대 매출, 순매출 유지율, 대형 고객 비중 같은 핵심 SaaS 지표가 부족하다. 따라서 “10억 달러가 정당하다”기보다 “10억 달러를 노릴 서사는 충분하다” 정도가 더 정확한 표현이다.

정리하면, Aikido는 AI 코딩 시대의 보안 병목을 정확히 겨냥한 회사다. 만약 이들이 말하는 self-securing software가 실제로 개발팀 운영 비용을 낮추고, 오탐보다 패치 자동화를 더 잘 보여준다면, 이 회사는 유럽발 DevSecOps 대표주자가 될 수 있다. 반대로 그 약속이 과장으로 판명되면, 통합 플랫폼 스토리는 빠르게 할인될 것이다.

핵심 숫자만 빠르게 보면

설립: 2022년
시리즈 B: 2026년 1월 14일, 6000만 달러
밸류에이션: 10억 달러
공개 성장 지표: 지난 1년 매출 5배 성장, 고객 수 3배 이상 성장
공개 인력 지표: 180명, 하루 60회 이상 배포
공개 가격: 무료 / 월 300달러 / 월 600달러 / 엔터프라이즈 별도

참고 자료

불확실성 메모: 회사는 매출 5배 성장과 고객 3배 확대를 공개했지만 절대 매출 규모는 공개하지 않았다. 또한 공식 사이트에는 5만+ 조직, 10만+ 개발자, 10만+ 팀 등 서로 다른 단위의 지표가 혼재해 있어 동일 모수를 뜻하는 숫자로 단정하면 안 된다. 가격 정보는 2026년 6월 10일 공개 페이지 기준이며 이후 변경될 수 있다.