Partnering with Scanner: Every Log Tells a Story—If You Can Find It Fast Enough
Quick Summary
Sequoia는 Scanner가 저비용 객체 스토리지에 묻힌 방대한 보안 로그를 초 단위로 검색 가능하게 만들어, AI 기반 보안 운영의 핵심 인프라가 되고 있다고 설명한다.
🖼️ 인포그래픽
🖼️ 4컷 인포그래픽
💡 한 줄 요약
Sequoia는 Scanner가 저비용 객체 스토리지에 묻힌 방대한 보안 로그를 초 단위로 검색 가능하게 만들어, AI 기반 보안 운영의 핵심 인프라가 되고 있다고 설명한다.
📌 핵심 요약
- 보안팀은 API 호출, 로그인 이벤트, 네트워크 연결 등 모든 활동에서 생성되는 막대한 로그를 장기간 보관하고 검색해야 하지만, 기존 SIEM 비용 때문에 대부분의 데이터를 즉시 활용하지 못하는 딜레마에 놓여 있다.
- 많은 기업은 최근 10~30일치 로그만 Splunk 같은 SIEM에 두고 나머지는 Amazon S3에 보관하지만, 침해 사고나 감사, 포렌식 조사 시 필요한 증거가 사실상 검색 불가능한 상태가 되는 문제가 발생한다.
- Scanner는 객체 스토리지를 전제로 새로 설계한 로그 검색 엔진으로, 필드 값과 S3 파일 영역을 직접 연결하는 inverted index를 사용해 페타바이트 규모 로그도 초 단위로 질의할 수 있게 한다.
- Cliff Crosland와 Steven Wu는 Stanford CS 출신이자 Accompany에서 대규모 데이터 인프라를 구축한 엔지니어링 리더였으며, Sequoia는 이들의 성능 집착과 생산 규모 경험을 중요한 강점으로 본다.
- Notion, Ramp, Benchling, Confluent, Lemonade, BeyondTrust 등 클라우드 네이티브 기업들이 Scanner를 사용하고 있으며, 특히 AI 에이전트 기반 보안 조사 흐름에서 빠른 반복 질의를 가능하게 하는 기반으로 확산되고 있다.
🧩 주요 포인트
- 보안팀은 API 호출, 로그인 이벤트, 네트워크 연결 등 모든 활동에서 생성되는 막대한 로그를 장기간 보관하고 검색해야 하지만, 기존 SIEM 비용 때문에 대부분의 데이터를 즉시 활용하지 못하는 딜레마에 놓여 있다.
- 많은 기업은 최근 10~30일치 로그만 Splunk 같은 SIEM에 두고 나머지는 Amazon S3에 보관하지만, 침해 사고나 감사, 포렌식 조사 시 필요한 증거가 사실상 검색 불가능한 상태가 되는 문제가 발생한다.
- Scanner는 객체 스토리지를 전제로 새로 설계한 로그 검색 엔진으로, 필드 값과 S3 파일 영역을 직접 연결하는 inverted index를 사용해 페타바이트 규모 로그도 초 단위로 질의할 수 있게 한다.
- Cliff Crosland와 Steven Wu는 Stanford CS 출신이자 Accompany에서 대규모 데이터 인프라를 구축한 엔지니어링 리더였으며, Sequoia는 이들의 성능 집착과 생산 규모 경험을 중요한 강점으로 본다.
- Notion, Ramp, Benchling, Confluent, Lemonade, BeyondTrust 등 클라우드 네이티브 기업들이 Scanner를 사용하고 있으며, 특히 AI 에이전트 기반 보안 조사 흐름에서 빠른 반복 질의를 가능하게 하는 기반으로 확산되고 있다.
🧠 상세 정리
1. 보안 로그가 만드는 구조적 문제
글은 차세대 보안 인프라를 조사하던 Sequoia 측 화자가 실리콘밸리의 기술적으로 성숙한 기업 CISO와 보안 엔지니어들을 만난 경험에서 출발한다. 그는 10년 전 엔터프라이즈 소프트웨어 분야에서 던졌던 것과 같은 질문, 즉 가장 큰 골칫거리가 무엇인지 물었다. 답변은 놀랄 만큼 일관됐고, 핵심은 보관할 여유가 없는 로그에는 익사하고 검색할 여유가 없는 로그 앞에서는 장님이 된다는 것이었다. 이 문제 제기는 Scanner가 해결하려는 시장의 통증을 설명하는 출발점으로 제시된다.
2. SIEM 비용과 장기 로그 검색의 딜레마
기업 보안 도구는 API 호출, 로그인 이벤트, 네트워크 연결 등 거의 모든 행위에서 로그 데이터를 생성한다. 사이버 위협을 조사하려면 보안팀은 이 데이터를 전부 필요로 하며, 때로는 1년 이상 과거까지 거슬러 올라가야 한다. 하지만 Splunk 같은 SIEM에 모든 로그를 저장하는 것은 비용이 지나치게 커서 CISO 전체 예산의 15%까지 잡아먹을 수 있다고 글은 설명한다. 그래서 기업들은 최근 10~30일치만 SIEM에 남기고 나머지는 Amazon S3에 보관하지만, 실제 사고·감사·포렌식 상황에서는 그 데이터가 불투명하고 검색하기 어려운 상태로 드러난다.
3. Scanner가 제시한 객체 스토리지 기반 검색 방식
Sequoia 측 화자는 포트폴리오 회사 Temporal의 보안팀 구성원에게서 Scanner가 매우 빠르다는 평가를 듣고 Cliff Crosland에게 연락했다고 설명한다. Scanner의 핵심 발상은 로그 검색 엔진을 객체 스토리지에 맞춰 처음부터 설계하면 어떤 모습이어야 하는지 묻는 데 있다. 그 답으로 Scanner는 필드 값을 S3 안의 파일 영역과 직접 연결하는 목적형 inverted index를 만들었다. 이 방식은 수십억 행을 훑는 대신 질의와 관련 있는 데이터 조각만 좁혀 검색하게 하며, 그 결과 페타바이트 규모 로그도 상호작용 가능한 속도로 다룰 수 있게 한다.
4. 성능, 탐지 엔진, 그리고 운영상의 효과
글은 Scanner가 기존에 몇 시간씩 걸리던 질의를 초 단위로 줄였다고 강조한다. 또한 Scanner는 각 탐지 규칙마다 전체 데이터를 다시 스캔하지 않고도, 하루 수십 테라바이트 규모의 로그 위에서 수백 개 탐지 규칙을 지속적으로 실행하는 스트리밍 탐지 엔진을 제공한다고 설명한다. 이 부분은 단순히 저장 비용을 줄이는 이야기가 아니라, 장기 보관된 로그를 실제 조사와 탐지 운영에 다시 연결하는 이야기다. 즉 Scanner의 가치는 값싼 저장소에 묻혀 있던 데이터를 보안팀이 즉시 질의하고 활용할 수 있는 상태로 바꾸는 데 있다.
5. 창업자 배경과 고객 검증
Sequoia는 Cliff Crosland와 Steven Wu를 자신들이 찾는 유형의 창업자로 묘사한다. 두 사람은 모두 Stanford CS 출신이며, Cisco가 인수한 Accompany에서 함께 엔지니어링 리더로 일하면서 까다로운 생산 규모 환경의 핵심 데이터 인프라를 구축했다. 글은 이들이 느린 시스템을 용납하지 않는 수준의 성능 집착과 더 나은 시스템을 만들 기술적 전문성을 갖고 있다고 평가한다. 다만 가장 인상적인 점은 기술 그 자체보다 고객이며, Notion, Ramp, Benchling, Confluent, Lemonade, BeyondTrust 같은 기업들이 Scanner를 실제로 사용하고 좋아한다는 점이라고 강조한다.
6. AI 기반 보안 운영으로 이어지는 확장
고객 사례는 Scanner의 방향성을 더 구체적으로 보여준다. Benchling은 다른 제품의 가격이 강제로 10배 오른 뒤 Scanner로 전환했고, 보안 엔지니어링 책임자는 이를 팀의 최고의 기술적 결정 중 하나로 평가했다. Ramp는 보안 로그에서 시작해 애플리케이션 로그로 사용 범위를 넓히며 SIEM 비용을 줄였고, Notion의 탐지·대응 팀은 Scanner를 활용해 보안 조사를 자율적으로 수행하는 내부 AI 에이전트를 만들었다. 글은 이 사례가 앞으로의 변화를 가리킨다고 보며, AI 에이전트가 보안 조사에서 빠르게 질문을 반복하고 실마리를 따라가려면 분 단위나 시간 단위가 아니라 초 단위 검색이 필요하다고 설명한다.
🧾 핵심 주장 / 시사점
- Scanner의 차별점은 로그를 더 많이 저장하는 데서 끝나지 않고, 값싼 객체 스토리지에 있는 장기 로그를 실제 보안 조사와 탐지 흐름에서 즉시 검색 가능한 데이터로 되돌리는 데 있다.
- AI 에이전트 기반 보안 운영은 모델 능력만으로 성립하지 않으며, 에이전트가 반복적으로 질문하고 가설을 검증할 수 있을 만큼 빠른 로그 검색 인프라가 전제되어야 한다.
- Sequoia가 강조하는 투자 논리는 기술 성능, 창업자 경험, 고객의 강한 사용 반응이 함께 맞물린다는 점이며, 특히 실제 고객사의 확장 사용과 에이전트 쿼리 비중이 시장 전환의 근거로 제시된다.
✅ 액션 아이템
- SIEM 10~30일치 저장, 나머지 S3 보관 구조에서 침해·감사·포렌식 대응용 로그 재현 구간을 분리해 우선순위를 정한다.
- Scanner의 객체 스토리지 기반 inverted index가 필드 값-파일 영역 결합으로 초 단위 질의를 구현하는지 점검하고, 페타바이트급 처리 비용과 성능을 비교한다.
- AI 에이전트형 보안 조사에서 API 호출·로그인·네트워크 이벤트 중심 반복 질의 패턴을 추려 Scanner 적용 대상 범위를 정의한다.
❓ 열린 질문
- 현재 SIEM 10~30일치 보존 + S3 장기 보관 체계에서 검색 지연 허용 한도는 어디까지로 설정해야 하는가?
- 필드 값과 S3 파일 영역 매핑을 실서비스 스키마에 맞출 때 어떤 인덱스 설계가 초 단위 응답을 가장 안정적으로 보장할 수 있는가?
- Notion, Ramp, Benchling 등 확산 사례를 반영해 우리 조직이 AI 에이전트 기반 반복 보안 조사로 전환할 적기는 어떻게 판단할 것인가?