[현장] 스플렁크, 시스코 합병 후 본격 승부수…"데이터 비용 이렇게 푼다"

스플렁크가 ‘데이터 비용’ 문제를 정면으로 건드립니다

: AI 시대, 로그·텔레메트리 비용이 폭증하는 기업에 던지는 해답

요즘 기업들이 AI를 도입하려고 할 때, 진짜 벽은 “모델”이 아니라 “데이터 비용”에서 나오는 경우가 많습니다.

AI를 잘 돌리려면 결국 데이터가 많이 필요하고(그리고 계속 늘고), 그 데이터는 대부분 로그/이벤트/센서/보안 데이터처럼 ‘머신 데이터’로 쏟아지거든요.

그런데 이 데이터는 사람 눈으로 읽기 쉬운 엑셀 표가 아니라, 형태도 제각각이고(정형/비정형/반정형), 하루에도 수십~수백TB가 생성됩니다.

여기에 “일단 다 모아두자”라고 하면 저장·처리·보안·거버넌스 비용이 급격히 커지고, 결국 현장에서 흔히 말하는 그 문제로 이어집니다.

“AI 하고 싶은데… 데이터 비용이 감당이 안 돼요.”

바로 이 지점을 스플렁크(Splunk)가 이번에 아주 정면으로 겨냥했습니다.

1) 스플렁크의 승부수: ‘머신 데이터 레이크(Machine Data Lake)’

스플렁크가 올해 상반기(기사 기준) 출시를 예고한 핵심은 “머신 데이터 레이크”입니다.

핵심 메시지는 한 줄로 요약하면 이거예요.

“스키마(데이터 구조) 먼저 잡느라 시간·비용 쓰지 말고, 일단 쌓아두고 필요할 때 검색/분석하자.”

즉, 전통적인 데이터웨어하우스처럼 “넣기 전에 구조부터 완벽히 설계”하는 방식(스키마-온-라이트)과 달리,

데이터를 먼저 적재해두고(스키마리스에 가깝게) 검색 시점에 의미를 부여하는 방식(스키마-온-리드)에 가깝습니다.

이게 왜 중요하냐면, AI·보안·관측(Observability) 영역의 데이터는 “처음부터 구조를 정리하기가 거의 불가능”한 경우가 많기 때문입니다.

• IoT/로봇/센서/장비 로그는 포맷이 계속 바뀜

• 클라우드/앱/보안 이벤트는 종류가 너무 많음

• 새로운 공격/장애/이슈는 ‘처음 보는 패턴’으로 발생함

• 그래서 결국 “나중에 조사(포렌식/트러블슈팅/원인분석)”가 핵심이 됨

스플렁크가 말하는 구조는 결국, “변화가 잦은 머신 데이터를 비용 효율적으로 모으고, 필요할 때 빠르게 꺼내 쓰게 하겠다”는 쪽입니다.

2) 시스코 합병 이후 ‘AI + 보안 + 관측’ 통합이 빨라졌다

이번 발표가 더 주목받는 이유는, 스플렁크가 시스코(Cisco)와 합병한 이후 “제품 로드맵의 속도와 방향”이 더 분명해졌기 때문입니다.

시스코는 네트워크/인프라/보안에 강하고, 스플렁크는 머신 데이터 분석(로그/이벤트 기반)에서 압도적 강점이 있죠.

결국 두 회사가 합쳐지면 이런 그림이 만들어집니다.

• 네트워크/인프라에서 데이터가 쏟아짐

• 보안 위협도 같이 늘어남

• AI가 자동화/에이전트 형태로 실제 조치를 수행하려면 “관측 + 보안 + 데이터 기반 의사결정”이 한 덩어리로 묶여야 함

이번에 함께 소개된 것들도 같은 맥락이에요.

• 스플렁크 AI 툴킷: 내부 데이터에 AI를 직접 적용해 즉각 가치 만들기

• AI 에이전트 모니터링: AI 앱 스택(성능·보안·비용)을 end-to-end로 모니터링

• 에이전틱 보안 운영(SOC): 변화하는 위협에 ‘자율 대응’하는 방향 제시

3) “에이전틱 SOC”가 왜 나오나: 사람이 ‘결정’만 하고, 실행은 AI가 하는 시대

기사에서 인상적인 부분이 하나 더 있습니다.

스플렁크 글로벌 CTO가 AI 자율화 성숙도를 3단계로 설명했죠.

• Human in the loop: 사람이 최종 결정

• Human on the loop: 사람이 모니터링(감독)

• Human out of the loop: 시스템이 자율 실행

요즘 기업들이 관심 갖는 건 사실상 2~3단계입니다.

왜냐하면 보안/운영 쪽은 이미 사람이 처리할 수 있는 속도를 넘어섰거든요.

• 알람은 계속 쏟아지고

• 공격은 자동화되고

• 장애는 복합적으로 터지고

• 인력은 늘리기 어렵고(또는 예산이 없음)

그러니 “AI가 추천만 해주는 도구”를 넘어,

“AI가 실제로 조치까지 수행하는 자동화 체계”가 필요해지는 거죠.

다만 여기엔 항상 질문이 붙습니다.

“AI에게 어디까지 권한을 줄 것인가?”

“오탐/오작동 리스크는 어떻게 통제할 것인가?”

“감사(Compliance)와 책임 소재는 어떻게 할 것인가?”

이런 이슈까지 포함해, SOC의 운영모델 자체가 바뀌고 있다는 신호로 읽으면 좋습니다.

4) 국내 사례가 시사하는 것: ‘자동화율’이 핵심 KPI가 된다

기사에서는 국내 고객 사례도 나왔습니다.

• NH농협은행: 대규모 조직의 보안 관제를 단일 조직에서 수행

• 2021년부터 보안 관제 AI 모델링 도입 → 탐지 모델 확장

• 스플렁크 기반 SOAR 체계를 자체 구축해 위협 대응의 95% 이상 자동화

• 하루 64TB 규모 데이터 수집/학습에 활용

• LLM + RAG 접목도 검토

여기서 중요한 포인트는 “도입했다”가 아니라, 운영 성숙도를 가늠하는 지표가 “자동화율”로 이동하고 있다는 점입니다.

예전엔 “SIEM 구축했냐”, “로그 수집하냐” 수준이었다면,

이제는 “실제 대응이 얼마나 자동화되냐(=사람 시간을 얼마나 줄이냐)”가 성과를 가르는 기준이 되는 거죠.

5) LG전자 사례: 피지컬 AI + 관측 데이터가 붙으면 ‘의사결정 속도’가 달라진다

또 하나 눈여겨볼 부분은 제조/현장 영역입니다.

LG전자는 피지컬 AI 솔루션(EVA)이