SIEM 및 보안 분석 시장의 급격한 변화와 통합에 대응하는 방법

보안 솔루션 분야는 매우 빠르게 변화하고 있으며, 중요한 인수합병이 시장을 재편하고 있습니다. 특히 Palo Alto Networks는 IBM의 QRadar 제품 라인을 인수했고, Exabeam과 LogRhythm은 합병을 발표했습니다. 이러한 움직임은 이전에 Cisco가 Splunk를 인수했던 사례를 떠올리게 하며, AWS, Microsoft, Cisco, Palo Alto Networks, CrowdStrike와 같은 주요 업체들이 SIEM과 보안 분석 영역에서 입지를 강화해 나가는 흐름을 보여줍니다.

이러한 발표는 최근 Gartner에서 SIEM 매직 쿼드런트(Magic Quadrant)를 공개한 직후 이루어졌습니다. 현재 매직 쿼드런트 ‘리더’ 분야의 5개 기업 중 3개 기업이 인수 또는 합병 과정에 있는 상황입니다.

이는 상당한 변화입니다. 불과 얼마 전까지만 해도 여러 주요 벤더가 ‘SIEM은 그 수명을 다했고, XDR이 대세다’라고 외치던 때가 있었지만, 이제는 SIEM을 최대한 빨리 자신들의 포트폴리오에 편입하기 위해 경쟁하고 있기 때문입니다. 심지어 EDR 분야의 선두주자인 CrowdStrike조차 RSA에서 ‘차세대 SIEM(Next-gen SIEM)’이 CrowdStrike 플랫폼의 핵심이 될 것이라고 발표했습니다. 최근 다른 글에서 논의한 바와 같이 만약 SIEM이 ‘수명을 다한’ 기술이었다면, 우리는 지금 매우 강렬한 ‘프랑켄슈타인식 부활’을 목격하고 있는 셈입니다. 문제는 결국 이러한 플랫폼 전략이 SecOps의 오랜 숙원인 ‘단일 창(single pane of glass)’의 실현으로 이어질 것인가, 아니면 그저 ‘고통의 창(single glass of pain)’이 되고 말 것인가 하는 것입니다.

통합의 트렌드

Forrester의 조셉 블랭켄십(Joseph Blankenship)과 앨리 멜렌(Allie Mellen)은 최근 분석에서 IBM이 QRadar 제품 라인을 Palo Alto Networks에 매각하기로 한 결정이 보안 벤더들이 통합 보안 플랫폼 구축 전략을 추구하는 시장의 흐름을 반영한다고 설명했습니다. 이 전략은 위협 탐지부터 대응 및 분석까지 광범위한 보안 요구를 하나의 통합된 솔루션으로 제공하는 것을 목표로 합니다.

그러나 다시 말하지만, 문제는 이 전략이 성공할 것인가, 아니면 과거 HP와 Micro Focus에 인수되며 느리게 쇠퇴한 혁신적 SIEM ‘ArcSight’의 전철을 다시 밟게 될 것인가 하는 것입니다. ArcSight의 명복을 빌며

마찬가지로 Exabeam과 LogRhythm의 합병은 이러한 통합의 장점과 위험 요소에 대한 다양한 논의를 촉발했습니다. Forrester의 앨리 멜렌(Allie Mellen)과 조셉 블랭켄십(Joseph Blankenship)은 LogRhythm과 Exabeam이 서로 보완적인 강점을 갖고 있지만, 서로 다른 기업 문화와 기술을 통합하는 과정은 상당히 복잡한 작업이 될 것이라고 지적했습니다. 이러한 복잡성으로 인해 기업이 구조조정을 진행하고 기술을 통합하는 과정에서 혁신이 둔화되는 경우가 많습니다.

IBM이 사이버 보안 사업 일부를 매각한 결정에는 분명한 배경이 있습니다. IBM은 성장 가능성이 더 큰 영역에 집중하고, Palo Alto는 새로운 Cortex XSIAM을 중심으로 SIEM 시장에 진입하려는 전략을 추진해 왔습니다. 이제 IBM의 기존 고객 기반이 자연스럽게 Palo Alto로 넘어가게 된 것입니다. Omdia의 수석 애널리스트 에릭 파리조(Eric Parizo)는 Dark Reading에서 다음과 같이 설명했습니다.

기능 및 성능 측면에서 기존 플랫폼은 사실상 한계에 도달했습니다. 플랫폼을 현대화하고 차세대 SIEM 부문의 핵심이 되고 있는 클라우드 네이티브로 마이그레이션해야 할 필요성이 절실했습니다. 다행히 이러한 방향성은 IBM이 기업 전체적으로 Red Hat OpenShift 플랫폼으로의 전환을 추진하고 있던 시점과 맞물렸습니다.

대규모 인수합병이 초래하는 위험

요소 보안 스택을 현대화하려는 SecOps 팀의 경우, 중요한 인수합병이 진행 중인 기술에 신중하게 접근하는 것이 중요합니다. Splunk 사례에서도 볼 수 있듯이, 이러한 전환은 종종 서로 다른 기업 문화의 충돌, 중복 기능 제거 작업 등 내부적 난제를 해결해야 하므로 혁신 속도가 느려지게 되는 것을 이미 겪은 바 있습니다. 현재 보안 소프트웨어 시장에서 이어지는 복잡한 움직임 대부분은, 말하자면 거대 기업들이 휘청거리거나 넘어지는 충격을 최대한 완화하려는 시도로 해석될 수 있습니다.

보안 소프트웨어 기업 간의 대규모 인수합병은 고객에게 여러 가지 위험 요소를 초래할 수 있습니다. 주요 우려 사항은 다음과 같습니다.

1. 서비스 중단: 합병 과정에서 시스템 통합이 이루어지면 서비스 중단이 발생할 수 있습니다. 이는 사용자가 의존하는 보안 서비스의 가용성과 안정성을 저하시켜 전환 기간 동안 보안 위험에 노출될 수 있습니다.

2. 제품 구성의 변화: 합병 이후 특정 서비스가 변경되거나 중단될 수 있습니다. 그 결과 사용자는 새로운 제품에 적응해야 하며, 때로는 이전 솔루션만큼 효과적으로 요구 사항을 충족하지 못할 수도 있습니다.

3. 프라이버시 우려: 합병을 통해 고객 데이터가 법인 간에 통합되는 경우가 많습니다. 이로 인해 개인정보 처리 및 보호 방식이 변경되어 데이터 유출 또는 오용의 위험이 높아질 수 있으므로 개인정보 보호에 대한 우려가 제기됩니다.

4. 고객 지원 문제는 기업이 운영을 통합하고 효율화를 추진하는 과정에서 발생할 수 있습니다. 사용자는 응답 지연, 고객 지원 수준 저하, 전문 인력의 부족 등을 경험할 수 있습니다.

5. 가격 변동: 합병 이후 기업은 가격 구조를 재평가하는 경우가 많으며, 이는 사용자에게 비용 증가로 이어질 수 있습니다. 기존 계약이 재협상되거나 단계적으로 종료될 가능성도 있으며, 이로 인해 동일한 서비스의 비용이 인상되거나 서비스 레벨이 하락할 수도 있습니다.

6. 경쟁 감소: 기술 산업에서의 인수합병은 시장의 집중화를 초래하여 경쟁을 약화시킬 수 있습니다. 이는 소비자의 선택권을 제한하고 잠재적으로 가격 상승과 혁신 감소라는 부정적인 결과를 초래할 수 있습니다.

세대 교체가 주도하는 M&A 흐름

SIEM 시장에서 현재 진행 중인 인수합병 트렌드를 이끄는 주요 요인 중 하나는 SIEM 기술의 지속적인 세대 교체입니다. 흔히 1세대 및 2세대라고 불리는 기존의 SIEM 솔루션은 주로 로그 관리와 기본적인 위협 탐지에 중점을 두었습니다. 그러나 사이버 위협이 고도화되면서 이러한 기존 시스템의 한계가 분명해졌습니다. 3세대 및 4세대 SIEM 솔루션의 등장으로 사용자 및 엔터티 행동 분석(UEBA), 고급 상관 분석 기능, 더욱 정교한 위협 인텔리전스 통합과 같은 기능이 추가되었습니다. 현재 시장은 5세대 SIEM 솔루션으로의 전환기에 있으며, 이는 인공지능(AI), 머신러닝, 자동화가 통합된 것이 특징입니다.

이러한 세대 교체로 인해 벤더는 빠르게 혁신하고 최신 보안 문제를 해결하는 고급 기능을 통합해야 합니다. AI 및 머신러닝 전문성을 확보한 기업들이 이 기술을 SIEM 기능에 통합하고자 하는 대형 벤더 기업들로부터 높은 관심을 받는 이유도 여기에 있습니다. 이러한 대형 벤더 기업은 혁신적인 기업을 인수하여 기술 스택을 강화하고 경쟁력을 확보하는 전략을 적극적으로 추진하고 있습니다. 결과적으로 시장에서는 고급 위협을 보다 효율적으로 탐지·조사·대응할 수 있는 차세대 SIEM 솔루션을 제공하려는 목적의 M&A 흐름이 가속화되고 있습니다. 특화된 기술을 가진 기업을 인수함으로써 벤더들은 5세대 SIEM으로의 전환을 앞당기고, 보다 견고하고 통합된 보안 플랫폼을 고객에게 제공할 수 있게 됩니다.

독립형 SIEM 솔루션의 가치

이러한 대규모 통합 흐름 속에서도 거대 기술 기업에 종속되지 않은 보안 플랫폼을 선택하는 것은 여전히 큰 가치를 갖습니다. Sumo Logic과 같은 솔루션은 특정 벤더 생태계에 얽매이지 않고 다양한 기술과 자연스럽게 통합될 수 있다는 점에서 차별화된 이점을 제공합니다. 이러한 독립성은 기업이 민첩성을 유지하고 자체 요구에 가장 적합한 솔루션을 자유롭게 선택할 수 있도록 해줍니다.

Sumo Logic은 강력한 통합 기능과 유연성으로 이미 명성을 쌓아왔습니다. 대형 벤더들이 시장 지배력을 이용해 유연성이 떨어지는 번들 솔루션을 밀어붙일 수 있는 반면 독립형 플랫폼은 인터페이스·상호 연동성과 적응성이 우수해야 시장에서 인정받을 수 있습니다. 조직이 다양한 데이터 소스와 분석 도구를 통합해 운영하는 보안 데이터 레이크(Security Data Lake)가 필요한 경우 이러한 통합성과 개방성은 특히 중요합니다.

맺음말

기존의 SIEM 솔루션이 인수합병을 통해 현대화되길 기다리는 것은 마치 SIEM을 부활시킬 부활의 감이 감나무에서 떨어지기만을 기다리고 있는 것과 같습니다. 중요한 것은 이미 오늘 바로 효과적으로 활용할 수 있는 도구들이 존재한다는 사실입니다. 보안 솔루션 시장이 계속 통합되는 흐름 속에서 조직은 선택에 더욱 신중해야 합니다. Palo Alto Networks, Cisco와 같은 주요 업체들이 제공하는 일체형 생태계(walled garden)는 처음에는 매력적으로 보이지만 벤더 종속을 피해 최적 솔루션을 선택할 수 있다는 점에서 독립형 플랫폼의 가치는 매우 큽니다.

빠르게 변화하는 보안 환경에서 모든 조직은 유연성, 강력한 통합 기능, 민첩성을 반드시 확보해야 합니다. 대규모 인수합병이 초래하는 문제점과 그에 따른 어수선한 전환 위험을 경계한다면 SecOps 팀은 장기적 보안 목표와 운영 목표를 확실히 뒷받침할 수 있는 더욱 현명한 결정을 내릴 수 있습니다.

AI 기술이 발전함에 따라 SIEM과 SecOps 플랫폼 산업의 미래가 어떻게 변화할지 더 자세히 알아보세요.