Articlesequoiacap.com·2026년 3월 10일·0

Partnering with Scanner: Every Log Tells a Story—If You Can Find It Fast Enough

Quick Summary

Sequoia는 Scanner가 저비용 객체 스토리지에 묻힌 방대한 보안 로그를 초 단위로 검색 가능하게 만들어, AI 기반 보안 운영의 핵심 인프라가 되고 있다고 설명한다.

Partnering with Scanner: Every Log Tells a Story—If You Can Find It Fast Enough 관련 대표 이미지

🖼️ 인포그래픽

Partnering with Scanner: Every Log Tells a Story—If You Can Find It Fast Enough 내용을 설명하는 본문 이미지

🖼️ 4컷 인포그래픽

Partnering with Scanner: Every Log Tells a Story—If You Can Find It Fast Enough 내용을 설명하는 본문 이미지

💡 한 줄 요약

Sequoia는 Scanner가 저비용 객체 스토리지에 묻힌 방대한 보안 로그를 초 단위로 검색 가능하게 만들어, AI 기반 보안 운영의 핵심 인프라가 되고 있다고 설명한다.

📌 핵심 요약

  • 보안팀은 API 호출, 로그인 이벤트, 네트워크 연결 등 모든 활동에서 생성되는 막대한 로그를 장기간 보관하고 검색해야 하지만, 기존 SIEM 비용 때문에 대부분의 데이터를 즉시 활용하지 못하는 딜레마에 놓여 있다.
  • 많은 기업은 최근 10~30일치 로그만 Splunk 같은 SIEM에 두고 나머지는 Amazon S3에 보관하지만, 침해 사고나 감사, 포렌식 조사 시 필요한 증거가 사실상 검색 불가능한 상태가 되는 문제가 발생한다.
  • Scanner는 객체 스토리지를 전제로 새로 설계한 로그 검색 엔진으로, 필드 값과 S3 파일 영역을 직접 연결하는 inverted index를 사용해 페타바이트 규모 로그도 초 단위로 질의할 수 있게 한다.
  • Cliff Crosland와 Steven Wu는 Stanford CS 출신이자 Accompany에서 대규모 데이터 인프라를 구축한 엔지니어링 리더였으며, Sequoia는 이들의 성능 집착과 생산 규모 경험을 중요한 강점으로 본다.
  • Notion, Ramp, Benchling, Confluent, Lemonade, BeyondTrust 등 클라우드 네이티브 기업들이 Scanner를 사용하고 있으며, 특히 AI 에이전트 기반 보안 조사 흐름에서 빠른 반복 질의를 가능하게 하는 기반으로 확산되고 있다.

🧩 주요 포인트

  1. 보안팀은 API 호출, 로그인 이벤트, 네트워크 연결 등 모든 활동에서 생성되는 막대한 로그를 장기간 보관하고 검색해야 하지만, 기존 SIEM 비용 때문에 대부분의 데이터를 즉시 활용하지 못하는 딜레마에 놓여 있다.
  2. 많은 기업은 최근 10~30일치 로그만 Splunk 같은 SIEM에 두고 나머지는 Amazon S3에 보관하지만, 침해 사고나 감사, 포렌식 조사 시 필요한 증거가 사실상 검색 불가능한 상태가 되는 문제가 발생한다.
  3. Scanner는 객체 스토리지를 전제로 새로 설계한 로그 검색 엔진으로, 필드 값과 S3 파일 영역을 직접 연결하는 inverted index를 사용해 페타바이트 규모 로그도 초 단위로 질의할 수 있게 한다.
  4. Cliff Crosland와 Steven Wu는 Stanford CS 출신이자 Accompany에서 대규모 데이터 인프라를 구축한 엔지니어링 리더였으며, Sequoia는 이들의 성능 집착과 생산 규모 경험을 중요한 강점으로 본다.
  5. Notion, Ramp, Benchling, Confluent, Lemonade, BeyondTrust 등 클라우드 네이티브 기업들이 Scanner를 사용하고 있으며, 특히 AI 에이전트 기반 보안 조사 흐름에서 빠른 반복 질의를 가능하게 하는 기반으로 확산되고 있다.

🧠 상세 정리

1. 보안 로그가 만드는 구조적 문제

글은 차세대 보안 인프라를 조사하던 Sequoia 측 화자가 실리콘밸리의 기술적으로 성숙한 기업 CISO와 보안 엔지니어들을 만난 경험에서 출발한다. 그는 10년 전 엔터프라이즈 소프트웨어 분야에서 던졌던 것과 같은 질문, 즉 가장 큰 골칫거리가 무엇인지 물었다. 답변은 놀랄 만큼 일관됐고, 핵심은 보관할 여유가 없는 로그에는 익사하고 검색할 여유가 없는 로그 앞에서는 장님이 된다는 것이었다. 이 문제 제기는 Scanner가 해결하려는 시장의 통증을 설명하는 출발점으로 제시된다.

2. SIEM 비용과 장기 로그 검색의 딜레마

기업 보안 도구는 API 호출, 로그인 이벤트, 네트워크 연결 등 거의 모든 행위에서 로그 데이터를 생성한다. 사이버 위협을 조사하려면 보안팀은 이 데이터를 전부 필요로 하며, 때로는 1년 이상 과거까지 거슬러 올라가야 한다. 하지만 Splunk 같은 SIEM에 모든 로그를 저장하는 것은 비용이 지나치게 커서 CISO 전체 예산의 15%까지 잡아먹을 수 있다고 글은 설명한다. 그래서 기업들은 최근 10~30일치만 SIEM에 남기고 나머지는 Amazon S3에 보관하지만, 실제 사고·감사·포렌식 상황에서는 그 데이터가 불투명하고 검색하기 어려운 상태로 드러난다.

3. Scanner가 제시한 객체 스토리지 기반 검색 방식

Sequoia 측 화자는 포트폴리오 회사 Temporal의 보안팀 구성원에게서 Scanner가 매우 빠르다는 평가를 듣고 Cliff Crosland에게 연락했다고 설명한다. Scanner의 핵심 발상은 로그 검색 엔진을 객체 스토리지에 맞춰 처음부터 설계하면 어떤 모습이어야 하는지 묻는 데 있다. 그 답으로 Scanner는 필드 값을 S3 안의 파일 영역과 직접 연결하는 목적형 inverted index를 만들었다. 이 방식은 수십억 행을 훑는 대신 질의와 관련 있는 데이터 조각만 좁혀 검색하게 하며, 그 결과 페타바이트 규모 로그도 상호작용 가능한 속도로 다룰 수 있게 한다.

4. 성능, 탐지 엔진, 그리고 운영상의 효과

글은 Scanner가 기존에 몇 시간씩 걸리던 질의를 초 단위로 줄였다고 강조한다. 또한 Scanner는 각 탐지 규칙마다 전체 데이터를 다시 스캔하지 않고도, 하루 수십 테라바이트 규모의 로그 위에서 수백 개 탐지 규칙을 지속적으로 실행하는 스트리밍 탐지 엔진을 제공한다고 설명한다. 이 부분은 단순히 저장 비용을 줄이는 이야기가 아니라, 장기 보관된 로그를 실제 조사와 탐지 운영에 다시 연결하는 이야기다. 즉 Scanner의 가치는 값싼 저장소에 묻혀 있던 데이터를 보안팀이 즉시 질의하고 활용할 수 있는 상태로 바꾸는 데 있다.

5. 창업자 배경과 고객 검증

Sequoia는 Cliff Crosland와 Steven Wu를 자신들이 찾는 유형의 창업자로 묘사한다. 두 사람은 모두 Stanford CS 출신이며, Cisco가 인수한 Accompany에서 함께 엔지니어링 리더로 일하면서 까다로운 생산 규모 환경의 핵심 데이터 인프라를 구축했다. 글은 이들이 느린 시스템을 용납하지 않는 수준의 성능 집착과 더 나은 시스템을 만들 기술적 전문성을 갖고 있다고 평가한다. 다만 가장 인상적인 점은 기술 그 자체보다 고객이며, Notion, Ramp, Benchling, Confluent, Lemonade, BeyondTrust 같은 기업들이 Scanner를 실제로 사용하고 좋아한다는 점이라고 강조한다.

6. AI 기반 보안 운영으로 이어지는 확장

고객 사례는 Scanner의 방향성을 더 구체적으로 보여준다. Benchling은 다른 제품의 가격이 강제로 10배 오른 뒤 Scanner로 전환했고, 보안 엔지니어링 책임자는 이를 팀의 최고의 기술적 결정 중 하나로 평가했다. Ramp는 보안 로그에서 시작해 애플리케이션 로그로 사용 범위를 넓히며 SIEM 비용을 줄였고, Notion의 탐지·대응 팀은 Scanner를 활용해 보안 조사를 자율적으로 수행하는 내부 AI 에이전트를 만들었다. 글은 이 사례가 앞으로의 변화를 가리킨다고 보며, AI 에이전트가 보안 조사에서 빠르게 질문을 반복하고 실마리를 따라가려면 분 단위나 시간 단위가 아니라 초 단위 검색이 필요하다고 설명한다.

🧾 핵심 주장 / 시사점

  • Scanner의 차별점은 로그를 더 많이 저장하는 데서 끝나지 않고, 값싼 객체 스토리지에 있는 장기 로그를 실제 보안 조사와 탐지 흐름에서 즉시 검색 가능한 데이터로 되돌리는 데 있다.
  • AI 에이전트 기반 보안 운영은 모델 능력만으로 성립하지 않으며, 에이전트가 반복적으로 질문하고 가설을 검증할 수 있을 만큼 빠른 로그 검색 인프라가 전제되어야 한다.
  • Sequoia가 강조하는 투자 논리는 기술 성능, 창업자 경험, 고객의 강한 사용 반응이 함께 맞물린다는 점이며, 특히 실제 고객사의 확장 사용과 에이전트 쿼리 비중이 시장 전환의 근거로 제시된다.

✅ 액션 아이템

  • SIEM 10~30일치 저장, 나머지 S3 보관 구조에서 침해·감사·포렌식 대응용 로그 재현 구간을 분리해 우선순위를 정한다.
  • Scanner의 객체 스토리지 기반 inverted index가 필드 값-파일 영역 결합으로 초 단위 질의를 구현하는지 점검하고, 페타바이트급 처리 비용과 성능을 비교한다.
  • AI 에이전트형 보안 조사에서 API 호출·로그인·네트워크 이벤트 중심 반복 질의 패턴을 추려 Scanner 적용 대상 범위를 정의한다.

❓ 열린 질문

  • 현재 SIEM 10~30일치 보존 + S3 장기 보관 체계에서 검색 지연 허용 한도는 어디까지로 설정해야 하는가?
  • 필드 값과 S3 파일 영역 매핑을 실서비스 스키마에 맞출 때 어떤 인덱스 설계가 초 단위 응답을 가장 안정적으로 보장할 수 있는가?
  • Notion, Ramp, Benchling 등 확산 사례를 반영해 우리 조직이 AI 에이전트 기반 반복 보안 조사로 전환할 적기는 어떻게 판단할 것인가?

관련 문서

공통 태그와 주제 흐름을 기준으로 같이 보면 좋은 문서를 이어서 제안합니다.