커버기업 수익률 업데이트를 하면서 눈물이 또르르..
하지만 너무 좋다.
내재가치의 변화는 없는데 주가가 떨어졌다면 그것은 좋은 기회다.
말뿐이 아니라 나는 이번 주에 커버기업을 제외한 모든 다른 종목을 정리하고,
내재가치와 실제가치의 괴리가 더 커진 커버기업 지분을 확보하는 데 집중했다.
이번 주에도 한 번 커버기업 현황을 정리해보려고 한다.
MongoBleed라구요?
사고 발생 경위와 대응 현황
MongoBleed로 불린 이번 MongoDB 보안 사건은 ‘25.12월 중순에 발생한 심각한 취약점에서 비롯되었다.
MongoDB 보안 엔지니어팀이 12.12일 내부적으로 취약점을 발견했고 즉시 대응에 나섰다.
취약점은 MongoDB 서버 소프트웨어(커뮤니티 에디션과 엔터프라이즈 모두)에 존재하는 버그로, MongoDB Atlas(클라우드 관리형 데이터베이스 서비스)를 포함한 MongoDB 자체 시스템이 해킹된 것은 아니라고 회사 측은 밝혔다.
발견 직후 MongoDB는 패치 개발 및 테스트를 신속히 진행했고, 불과 며칠 만에 Atlas 서비스 상의 모든 데이터베이스 인스턴스에 수정을 적용했다.
실제로 수만 명의 Atlas 고객이 이용 중인 수십만 개 Atlas DB 인스턴스에 며칠 내로 패치가 자동 배포되어 고객 측 조치 없이 보안이 강화되었다.
12.19일에는 해당 취약점이 CVE-2025-14847로 공식 등록·공개되었고, MongoDB는 동일 시점에 자체 설치형(온프레미스) 사용자들을 위한 패치를 배포했다.
12.23일에는 MongoDB 커뮤니티 포럼 공지를 통해 커뮤니티 에디션 사용자들에게 패치 적용 방법을 안내하는 등 적극적인 조치를 취했다.
한편, 공격 코드(Exploit)는 취약점 공개 후 약 1주일 만인 12월 말에 공개되어 빠르게 확산되었고, 전 세계적으로 약 87,000여 대의 MongoDB 서버 인스턴스가 인터넷에 취약한 채 노출되어 있는 것이 확인되었다.
다행히 MongoDB Atlas를 사용하는 고객들은 별다른 조치 없이도 이미 자동 패치를 받아 안전한 상태였다.
공격자들은 주로 패치되지 않은 자가 관리 MongoDB 서버들을 노리고 있었다.
12.28일경부터 해커들이 취약한 MongoDB 서버 메모리로부터 민감 정보 탈취를 시도했으며, 이로 인해 Ubisoft(유비소프트) 게임 서비스와 같은 일부 기업 시스템이 공격당했다.
미국과 호주 사이버 보안 당국도 해당 취약점이 실제로 악용되고 있다며 긴급 패치 권고를 내리는 등 빠르게 대응에 나섰다.
기술적 원인: 버그의 내용과 보안 설정 요소 분석
MongoBleed(CVE-2025-14847)는 MongoDB 서버의 데이터 압축 처리 과정에서 발생한 결함에서 비롯된 취약점이다.
기술적으로는 MongoDB가 네트워크 패킷을 zlib 라이브러리로 압축 해제(decompression)할 때 발생하는 버그로, 할당된 메모리(buffer) 크기를 잘못 처리하는 문제가 근본 원인이었다.
쉽게 말해, 공격자가 특수하게 조작된 압축 데이터 패킷을 MongoDB 서버로 보내면,
서버는 압축 해제를 위해 필요 이상으로 큰 메모리 버퍼를 할당하게 되고 압축 해제 후 그 남은 빈 공간에 남아있던 이전 데이터 조각들까지 응답으로 내보내는 상황이 발생했다.
이 누출된 메모리 조각에는 데이터베이스가 메모리에서 최근 다뤘던 민감 정보(예: DB 사용자 비밀번호, AWS 클라우드 키, 세션 토큰, 개인 정보 등)가 포함될 수 있어 문제가 심각했다.
더 큰 문제는 이 취약점이 인증 절차를 거치기 이전 단계에서 악용될 수 있다는 점이다. MongoDB 서버는 클라이언트와의 통신에서 압축된 메시지를 해제하는 작업을 사용자 인증(로그인)보다 먼저 수행하는데, 공격자는 로그인 정보가 없어도 취약점을 공격하였다.
Kevin Beaumont 등의 보안 연구자들은 “공격에 필요한 것은 MongoDB 인스턴스의 IP 주소뿐”이라며, 실제 DB 메모리에서 평문 비밀번호나 AWS 시크릿 키 같은 민감 정보가 그대로 새어나오는 것을 시연하기도 했다.
이러한 특성 때문에 MongoBleed 취약점은 2014년 OpenSSL의 Heartbleed를 떠올리게 한다는 평가를 받았고, 실제로 “MongoBleed”라는 별칭도 Heartbleed에서 따온 것이다.
MongoBleed로 인한 실제 피해 규모는 결과적으로 사용자 환경의 보안 수준에 크게 좌우되었다.
앞서 언급한 87,000여 개 취약 노출 MongoDB의 사례처럼, 인터넷에 그대로 MongoDB 포트를 열어둔 서버들이 특히 공격에 취약했다.
설령 취약점이 있더라도 방화벽 등으로 외부 접근을 차단해 두었거나 신속히 패치를 적용한 시스템은 피해를 피할 수 있었다.
결국 MongoBleed의 근본 원인은 MongoDB의 코드 결함이지만, 피해를 최소화하기 위한 최후의 보루는 사용자의 보안 관리 역량이었다.
이번 경우 Atlas 클라우드 서비스처럼 공급자가 알아서 패치를 적용해주는 환경에서는 피해가 없었던 반면, 자가 설치한 무료 버전을 방치한 경우 큰 위험에 노출되었다.
따라서 이번 취약점이 MongoDB의 DBaaS(서비스형 DB)로서의 신뢰도를 근본적으로 흔드는 문제라기보다는, 일반적인 소프트웨어 취약점이 드러났을 때 클라우드 관리형 서비스 vs 자체 관리 환경의 대비를 보여준 사례다.
브랜드 신뢰성과 DBaaS 시장에 미치는 영향 분석
언론에서 취약점에 별칭까지 붙이며 대대적으로 보도한 만큼, MongoDB를 사용하는 기업 고객이나 투자자들에게 일시적인 우려를 불러일으켰을 수 있다.
특히 “MongoDB 서버 메모리에서 비밀번호가 유출됐다”는 식의 자극적인 헤드라인은 기술을 잘 모르는 일반인들에게는 MongoDB 제품 전반에 대한 불안감을 줄 수도 있다.
과거 사례를 보면, 2017년의 MongoDB 무단 접근·랜섬 사건 때도 상당수 기업이 MongoDB의 보안 수준에 의구심을 가졌고,
MongoDB가 기본 보안 설정을 개선하고 보안 가이드를 강조하게 만드는 계기가 되었다.
MongoBleed 취약점 역시 8년 가까이 제품에 내재되어 온 결함이 이제서야 발견된 것이어서, 일부에서는 MongoDB 소프트웨어 품질 관리에 대해 걱정하는 시각도 있다.
그러나 한편으로는 이번 사건 대응을 통해 MongoDB 측이 오히려 신뢰를 지킨 면도 있다.
취약점을 선제적으로 발견한 것도 MongoDB사의 내부 보안팀이었고,
공개 전 Atlas 클라우드 서비스에 일괄 패치를 완료하여 상용 고객들에게 피해를 발생시키지 않은 점은 긍정적으로 평가된다.
클라우드 DBaaS로서 관리형 서비스의 보안 이점을 몸소 입증한 사례라는 분석도 있는데,
실제 MongoDB Atlas 고객들은 별다른 조치를 하지 않고도 자동 업데이트 덕분에 안전하게 보호받을 수 있었다.
이는 “DB 보안을 직접 책임지는 것보다 관리형 서비스를 이용하는 편이 안전하다”는 메시지로도 해석될 수 있어, Atlas의 신뢰성에는 오히려 플러스 요인으로 작용했다.
MongoDB CTO인 Jim Scharf도 공식 블로그에서 “투명하고 신속한 대응으로 고객의 신뢰를 지키는 것이 최우선”임을 강조하며, 이번 사건을 교훈 삼아 앞으로도 보안 강화를 계속해 나갈 것을 약속했다.
비교하자면, Heartbleed(OpenSSL) 사건 당시 전 세계 인터넷 기업들이 받은 충격과 유사하게, MongoBleed 취약점 역시 DB 업계에 경각심을 불러일으켰다.
Heartbleed 이후 오픈소스 보안에 대한 투자가 확대되고 소프트웨어 공급망 전반의 보안점검 노력이 강화된 것처럼, MongoDB도 이번 일을 계기로 코드 검증과 보안 프로세스를 한층 강화할 것이다.
다행히 현재까지 MongoBleed로 인한 대규모 2차 피해는 보고되지 않았으며,
MongoDB도 취약점 공개 직후 전세계 기관들과 공조하여 패치 권고를 내려 적극 대응했다.
따라서 신뢰성에 미치는 장기적 영향도 크지 않을 전망이다.
오히려 많은 기업들이 이번 사례를 통해 “최신 패치를 신속히 적용하는 체계의 중요성을 재인식하고, 전문 업체가 관리해주는 DBaaS의 장점”을 확인하는 계기가 되었다.
DASH의 성장전략
DASH의 성장전략은 변하지 않았으며, 3분기 실적은 모든 면에서 가속화되는 성장을 증명했다.
(QoQ로는 늦어졌지만, 계절적으로 날씨가 좋은 가을에 배달 수요가 감소하여 23년부터 매년 3Q QoQ 성장률이 가장 낮아 왔음을 감안하면 YoY 성장률 가속은 충분히 유의미한 결과다)
또한 매출총이익은 매출에 비해 충분히 빠르게 성장하여, 지속되는 영업 레버리지 효과를 입증했다.
순이익 컨센 미달과 ’26년 추가 투자 계획 등을 발표하면서 수익성 우려 때문에 주가가 아프게 급락했다.
하지만, DASH의 본질은 성장주이다.
아마존은 주가가 200배 상승하는 동안 80% 하락을 네 번 경험했다고 한다.
R&D와 시너지가 확실한 사업을 인수하며 한 자릿수 초반의 수익성과 성장 기울기를 같이 유지한 끝에 결국 큰 시장을 모두 장악하고, 23년 이후에야 10% 수준의 수익성을 보이는 상황이다.
그 긴 성장의 끝에 비로소 현재 PER 은 32.01이라는 정상적 수치에 도달할 수 있었다.
DASH도 이러한 긴 내러티브를 보고 투자한다면 지금의 다소 높은 PER은 정말 큰 시장을 장악하고 난 뒤의 수익으로 잠시 미뤄두고 기다려야 하지 않을까?
최소한 20% 이상 YoY 매출 성장을 시현하는 기업에 수익성을 높이라는 요구는 과도하다.
CRGO CEO가 사임했다. So what?
어쩔티비 저쩔티비라는 밈이 있었다.
“어쩌라고 티비나 봐”의 줄임말이었는데 이제 벌써 철지난 밈이 된 거 같다.
당일 약 30만주의 물량이 나오면서 하락한 이후 10만주도 안 되는 거래량으로 꾸준히 주가가 하방으로 내려가고 있다.
애초에 하루 거래량이 얼마 안 되는 종목이어서 이 정도는 감수하고 투자하는 거긴 하지만,
그리고 CEO가 투자에 중요한 요소라 생각하는 사람이 많아서 그렇다고는 하지만,
CEO가 나간다고 디지털 물류 서비스 선도기업의 지위가 무너지는 것도 아니며,
물류 서비스 소비자가 갑자기 플랫폼을 사용 안하는 것도 아니고,
기업들이 정보 솔루션을 갑자기 삭제할 이유도 없다.
모든 것은 이전에 해오던 그대로 진행될 것이다.
물론 외부에서 알 수 없는 악재가 있는 것은 아닌가 우려를 할 수 있다.
하지만 그렇다면 내부자들의 지분 매도 공시가 나와야 하지 않을까?
그런 공시가 나온 것은 관찰되지 않고 있다.
그냥 불안해진 투자자들이 매도하고, 낮아진 가격이 공포감을 더 자극해서 패닉셀이 패닉셀을 부르고 있는 국면이다.
물론, 다른 주식들과 달리 유동성이 적다보니 한두사람의 매도가 주가를 크게 움직이고 있는 것은 사실이다.
고점 대비하여 주가가 거의 반토막이 나면서 손실이 크지만, 그럼에도 내가 틀렸다는 생각은 전혀 들지 않는다.
HIMS의 힘을 보여줘
드립의 향연이다.
힘들 때 웃는 건 일류니까, 웃어보려는 노력이다.
HIMS도 노이즈가 많은 주식인 건 사실이다.
하지만 NOVO와 협상을 진행중이며,
텔레헬스 DTC 분야 선두 기업이라는 것은 변하지 않고,
오히려 경쟁사보다 더 빠른 성장률을 보여주고 있으며,
다양한 의료적 수요에 빠르고 저렴하게 대응하며 크로스셀링을 통해 ARPU를 적극 확장하고 있다.
TrumpRx를 통해 비만치료제가 판매된다고 하지만,
소비자들이 HIMS를 사용하는 것은 경제성 한 가지 이유만은 아니다.
축적된 건강관리 데이터, 편리한 상담과 비밀성, 원스톱으로 제공되는 맞춤형 약제, 그리고 HIMS 브랜드의 가치 등 복합적 이유가 존재한다.
TrumPhone을 싸게 만든다고 애플 사용자들이 갈아탈까?
아니라면 HIMS에게는 왜 이렇게 엄격한가?
나는 이들을 ‘자선사업가’라고 부른다.
좋은 주식을 싼 가격에 살 수 있도록 낮춰주니까.
적어도 내가 생각했을 때 지금 가격은 비이성적인 수준이라고 생각된다.
설령 비만치료제 수익을 모두 포기하더라도 자연스러운 유저확장과 ARPU 확장으로 멀티플에 걸맞는 이익을 확보하는데 걸리는 기간은 그리 길지 않을 것으로 생각한다.
그리고 가장 큰 네트워크는 작은 네트워크를 흡수한다.
인카금융서비스, 숨겨진 매출이 드러날 때
이제 이연된 매출 과소인식이 점차 예전에 이연된 매출과 균형을 이루는 시점이 오고 있다.
CFO는 25년 주총에서 그 시점을 25년 하반기로 예상했었는데,
이제 과소인식된 상태에서 성장률은 예전과 같은 수준으로 돌아올 거 같다.
위 그래프만 보면 매출 성장률이 확 꺾인 것처럼 보인다.
(심지어 이 기준으로 보더라도 연 매출 성장률은 15.17%인데 PER은 10이 되지 않는다)
이제 성장률이 정상적인 수치로 나타나게 되면 시장의 인식도 정상적으로 돌아와줄 거라고 생각한다.
확실한 건 설계사수의 성장률은 20%를 넘는 속도인 것 같다.
그리고 그들이 파는 보험상품의 단가는 양의 성장률을 보이며,
그들이 받는 수수료율은 개선되고 있다.
따라서 매출 성장률은 최소한 20%를 초과할 수밖에 없다.
나는 당연한 것에 투자하려고 한다.
토모큐브, 또하나의 당연한 투자 대안
별도의 분석 글을 작성하였으니 참고해보면 좋겠다.
결론 : 주가 하락이야말로 축복이다
하락은 항상 아프다.
하지만 다음 단계로 레벨업을 준비하는 시기이기도 하다.
75% rule에 따라 생각해봤을 때, 커버기업들의 투자 아이디어가 실현될 확률은 내가 생각했을 때 75%를 초과한다.
억지스러운 부분이 조금이라도 있다면 집요하게 파고들어주시길 바란다.
그 부분이 정말 약점이었다면 LTO는 그런 지적을 해준 분께 진심으로 감사하게 될 것이다.
그런 선의로부터 비롯된 지적에 거리낌이 없고,
이를 감사함으로 받아들일 수 있는 관계가 늘어나고,
그런 관계로 가득찬 커뮤니티가 되길 바라며 26년 첫 라이브를 마친다.
가치투자 커뮤니티를 성장시켜나가고 있습니다.
운영 계획과 방향성을 한 번 읽어보시고,
텔레그램과 유튜브 채널을 통해 소통하고 있으니 공감이 가신다면 참여해주세요!
쌍방향 소통을 원하는 분들은 카카오톡 채널로 와 주시면 좋을 거 같습니다.
자료실을 통해 리포트, 뉴스도 공유하고 있으니 참고하시면 도움이 될 거 같습니다.