데이터 및 AI 기업 데이터브릭스가 점차 정교해지는 에이전트 기반 공격에 대응하기 위한 새로운 개방형 에이전틱 SIEM(Security Information and Event Management) ‘레이크워치(Lakewatch)’를 선보였다. 레이크워치는 보안, IT, 비즈니스 데이터를 단일 거버넌스 환경으로 통합해 AI 기반 탐지와 대응을 지원하는 것이 핵심이다. 현재 프라이빗 프리뷰 형태로 제공된다.

이번 출시 배경에는 AI 기반 위협 환경의 급격한 변화가 자리하고 있다. 데이터브릭스에 따르면 공격자들은 에이전트를 활용해 시스템을 지속적으로 스캔하고 취약점을 탐색하며 머신 속도로 조직적인 공격을 수행하고 있다. 반면 방어 측은 불완전한 데이터, 수동 워크플로우, 사일로화된 아키텍처에 묶여 대응에 제약을 받고 있다. 특히 높은 데이터 수집 비용으로 인해 최대 75%에 달하는 데이터를 폐기하는 사례도 발생하면서, 공격자와 방어자 간 비대칭성이 더욱 커지고 있다는 설명이다.

데이터브릭스는 레이크워치가 이러한 격차를 줄이는 데 초점을 맞췄다고 밝혔다. 레이크워치는 모든 데이터를 개방형 형식으로 통합해 별도의 데이터 이동이나 복제 없이 수년치 데이터를 경제적으로 분석할 수 있도록 지원한다. 영상과 음성 등 멀티모달 데이터까지 포괄해 사회공학 공격, 내부자 위협, 이상 탐지 등 기존 보안 체계에서 놓치기 쉬운 위협까지 식별할 수 있도록 설계됐다. 여기에 다수의 AI 에이전트를 활용해 탐지, 분류, 위협 헌팅을 자동화함으로써 머신 속도로 전개되는 공격에 상응하는 방어 체계를 구현하겠다는 구상이다.

알리 고드시 데이터브릭스 공동창립자 겸 CEO는 “보안팀은 더 이상 수동 워크플로우만으로 AI 기반 공격을 앞지를 수 없다”며 “레이크워치를 통해 기업에 새로운 개방형 데이터 아키텍처와 에이전틱 역량을 제공함으로써 정체된 기존 SIEM 도구들을 대체할 것”이라고 밝혔다. 이어 “방어자는 오늘날의 에이전트 공격자들보다 더 뛰어난 가시성과 대응 속도를 반드시 갖춰야 한다”고 강조했다.

엔터프라이즈 규모와 속도를 겨냥한 설계도 레이크워치의 특징으로 제시됐다. 데이터브릭스는 레이크워치가 개방형 보안 레이크하우스(Security Lakehouse)의 확장성을 기반으로 에이전틱 보안을 구현하도록 설계됐다고 설명했다.

세부적으로는 에이전틱 분류 및 조사 기능을 통해 에이전트 브릭스(Agent Bricks)를 활용한 맞춤형 보안 에이전트 구축, 최적화, 배포를 지원한다. 이를 통해 복잡한 보안 워크플로우를 엔드 투 엔드로 처리할 수 있으며, 수백 가지 포맷의 텔레메트리 데이터를 분석·보강해 평균 탐지 및 대응 시간(MTTD/R) 단축을 목표로 한다. 이 과정은 데이터가 저장된 안전하고 거버넌스가 적용된 환경 안에서 이뤄진다.

자동화된 보안 인텔리전스 기능도 포함됐다. 지니(Genie)와 통합된 레이크워치는 위협 분류를 자동화하고 다단계 대응 전략 수립을 지원해 보안 경보 피로도를 낮추고, 분석가들이 우선순위가 높은 위협에 집중할 수 있도록 돕는다.

개방형 생태계 전략도 전면에 내세웠다. 레이크워치는 클라우드 종속성이 없는 단일 오픈 플랫폼에서 정형·비정형 보안 데이터를 통합하고 다양한 보안 도구와 연동해 사회공학적 공격, 내부자 위협, 이상 징후 탐지를 지원한다. 데이터브릭스는 아카마이, 앤빌로직, 악틱 울프, 크리블, 옵시디언, 옥타, 팔로알토네트웍스, 1패스워드, 팬서, 프루프포인트, 리어크, 슬랙, 트렌드AI, 위즈, 지스케일러 등과 함께 ‘오픈 시큐리티 레이크하우스 생태계(Open Security Lakehouse Ecosystem)’를 구축하고 있다고 밝혔다.

탐지 규칙을 코드 형태로 관리하는 코드 기반 탐지 기능도 제공한다. 자동화된 테스트와 배포를 통해 방어 체계의 버전 관리와 검증을 지속적으로 수행할 수 있도록 했다. 거버넌스와 규정 준수 측면에서는 유니티 카탈로그(Unity Catalog)를 통해 일관된 정책 집행과 장기 데이터 보관을 지원하며, 글로벌 기업이 NIS2, DORA 등 새로운 규제 요건을 충족할 수 있도록 지원한다는 설명이다.

데이터브릭스는 레이크워치 고객사로 어도비와 드롭박스를 제시했다. 카르틱 벤카테산 어도비 보안 엔지니어링 리드는 “보안 데이터 규모가 증가함에 따라 기업은 해당 정보를 빠르고 대규모로 분석하고 대응할 새로운 접근 방식이 필요하다”며 “데이터브릭스는 보안 운영을 데이터 중심에서 AI 중심으로 전환하는 토대를 제공하며, 레이크워치는 보안 인텔리전스를 데이터가 존재하는 곳으로 직접 가져오는 중요한 진전”이라고 말했다.

데이터브릭스는 제품 출시와 함께 앤트로픽과의 전략적 파트너십도 강화한다고 밝혔다. 앤트로픽의 클로드(Claude) 모델은 레이크워치에 탑재돼 고급 추론 능력을 바탕으로 보안, IT, 비즈니스 데이터를 종합 분석하고 신호를 상관 분석해 위협을 더 빠르게 탐지하는 데 활용된다. 앤트로픽 역시 자사의 보안 레이크하우스 구축에 데이터브릭스를 활용해 보안 및 비즈니스 데이터 전반의 가시성을 확보하고 위협을 조기에 탐지하고 있다고 데이터브릭스는 설명했다.

보안 역량 강화를 위한 인수도 병행된다. 데이터브릭스는 오픈형 에이전틱 SIEM 전략 강화를 위해 안티매터(Antimatter)와 SiftD.ai 인수를 발표했다. 안티매터는 UC 버클리 보안 연구진이 설립한 기업으로 AI 에이전트를 위한 검증 가능한 인증 및 권한 관리 기술을 개발해 왔다. SiftD.ai는 스플렁크의 검색 처리 언어(SPL) 개발자와 검색 스택 수석 아키텍트들이 창립한 기업으로, 대규모 탐지 엔지니어링과 최신 위협 분석 분야 전문성을 보유하고 있다.

이번 레이크워치 출시는 기존 SIEM 시장이 데이터 수집 비용, 폐쇄형 구조, 수동 대응 한계에 직면한 상황에서 데이터브릭스가 개방형 데이터 아키텍처와 에이전틱 AI를 결합한 대안을 본격 제시했다는 점에서 주목된다. 보안 운영이 데이터 통합을 넘어 AI 중심 자동화 체계로 이동하는 흐름 속에서, 레이크워치가 실제 엔터프라이즈 환경에서 어느 수준의 탐지 정확도와 운영 효율을 입증할지가 향후 시장 평가의 핵심이 될 전망이다.

이준문 기자/jun@newstap.co.kr

ⓒ 뉴스탭(https://www.newstap.co.kr) 무단전재 및 재배포금지