데이터브릭스, 1조 9천억 원 규모 사이버 보안 플레이로 팬서 랩스 인수… 크라우드스트라이크·스플렁크에 도전장

이 글에서는 양사의 역사, 사전 통합 작업, 데이터브릭스의 선제적인 보안 포트폴리오 구축 과정, 그리고 이번 인수의 구체적인 배경과 SIEM 및 광범위한 사이버 보안 시장에 미칠 파급력을 분석한다.

기업 개요

팬서 랩스 (Panther Labs)

팬서는 에어비앤비(Airbnb)와 야후(Yahoo) 출신의 보안 엔지니어링 매니저였던 잭 나글리에리(Jack Naglieri)가 2018년 샌프란시스코에서 설립했다. 그는 에어비앤비 재직 당시 서버리스 기반 실시간 보안 데이터 분석 프레임워크인 ‘스트림얼럿(StreamAlert)’을 공동 개발했으며, 이 오픈소스는 이후 넷플릭스, 코인베이스 같은 기업에서도 사용될 만큼 인정받았다.

기존 SIEM 플랫폼으로는 클라우드 규모의 데이터를 감당할 수 없다는 판단 아래, 그는 팬서를 ‘클라우드 네이티브’이자 ‘코드형 탐지(detection-as-code)’ 플랫폼으로 설계했다. 페타바이트 규모의 로그를 실시간으로 수집·정규화하고, 파이썬으로 직접 탐지 규칙을 작성할 수 있도록 한 것이 핵심이다. 이후 시드 라운드(450만 달러), 2020년 시리즈 A(1,500만 달러), 2021년 시리즈 B(1억 2천만 달러)를 차례로 유치하며 빠르게 성장했다.

데이터브릭스 (Databricks)

데이터브릭스는 최근 기업 가치 1,340억 달러를 인정받은 데이터·AI 플랫폼 기업이다. 2013년 설립되어 아파치 스파크(Apache Spark)를 상용화했으며, 이후 데이터 레이크의 유연성과 데이터 웨어하우스의 신뢰성을 결합한 ‘레이크하우스(Lakehouse)’ 아키텍처를 선보이며 업계를 선도해왔다. 기업 공개(IPO)를 앞두고 보안 텔레메트리 데이터의 중앙 저장소이자 AI 기반 탐지·대응 엔진으로서 입지를 다지며 사이버 보안 분야로 빠르게 영역을 확장하고 있다.

데이터브릭스의 1년간의 보안 포트폴리오 구축 작업

팬서 인수는 2025년부터 본격화된 전략적이고 공격적인 보안 투자의 최종 결과물이다.

2025년 9월 – ‘사이버 보안을 위한 데이터 인텔리전스’와 팬서 파트너십

2025년 9월, 데이터브릭스는 파편화된 보안, IT, 비즈니스 데이터를 개방형 레이크하우스에서 통합하고 AI 에이전트가 위협을 탐지하도록 설계된 ‘사이버 보안을 위한 데이터 인텔리전스(Data Intelligence for Cybersecurity)’ 플랫폼을 출시했다. 팬서는 이 이니셔티브의 공식 런치 파트너로 참여했으며, 양사는 보안 팀이 데이터브릭스 시큐리티 레이크하우스에서 데이터 통합 및 경고 조사를 자동화할 수 있도록 지원하는 ‘AI SOC 플랫폼’의 프라이빗 프리뷰를 공동 발표했다.

2026년 3월 – ‘레이크워치’ 출시 및 앤티매터·시프트D.ai 인수

2026년 3월 24일, 데이터브릭스는 앤트로픽(Anthropic)의 ‘클로드(Claude)’를 기반으로 탐지, 조사 및 대응을 자동화하는 AI 에이전트를 탑재한 ‘개방형 에이전트형 SIEM(Agentic SIEM)’인 레이크워치(Lakewatch)를 출시하며 SIEM 시장에 본격 진출했다. 이 솔루션은 스플렁크나 마이크로소프트 센티넬 같은 기존 SIEM을 대체할 수 있다고 회사 측은 설명하며, 비용을 최대 80%까지 절감할 수 있다고 강조했다.

이와 동시에 데이터브릭스는 레이크워치의 기반 기술을 위해 두 스타트업을 인수했다고 밝혔다. 하나는 AI 에이전트의 안전한 인증 및 권한 부여 기술을 가진 앤티매터(Antimatter)이며, 다른 하나는 스플렁크 출신 엔지니어들의 탐지 공학 전문성을 갖춘 시프트D.ai(SiftD.ai)다.

팬서 인수의 세부 내용과 전략적 근거

2026년 6월 16일, 데이터브릭스는 팬서 랩스 인수에 공식 합의했다.

거래 조건

• 인수 금액: 비공개.
• 참고 기업 가치: 팬서의 마지막 공개 기업 가치는 2021년 시리즈 B 당시 14억 달러.

전략적 근거
데이터브릭스는 이번 인수를 통해 “시큐리티 레이크하우스 카테고리를 더욱 공고히” 하고 “기존 SIEM이 하지 못하는 것을 제공”할 것이라고 발표했다. 공식 발표에서 강조된 핵심 동기는 다음과 같다:

• 에이전트형 SOC 워크플로우 추가: 팬서의 AI SOC 플랫폼은 ‘에이전트(AI 비서)’ 집단을 이용해 모든 경고를 자동 분류하고 조사하여 사람 분석가의 개입 부담을 획기적으로 줄인다.
• 데이터브릭스 네이티브 탐지 확장: 팬서는 이미 고객이 데이터브릭스에 저장된 데이터를 다른 곳으로 옮기거나 복제본을 만들 필요 없이, 실시간 탐지, 위협 사냥, 조사를 바로 실행할 수 있도록 지원해왔다. 이는 특정 벤더에 종속되지 않는 유연성을 의미한다.
• 100개 이상의 즉시 사용 가능한 통합 기능: 팬서는 데이터 커넥터, 코드형 탐지 및 워크플로우를 제공하여 데이터브릭스 생태계에 즉시 도입이 가능하다.
• 기존 SIEM 대체: 데이터브릭스는 이번 통합으로 통합된 시큐리티 레이크하우스 기반에서 에이전트형 탐지 및 대응을 운영함으로써, 기존 SIEM 플랫폼을 대체하는 그림을 그리고 있다.

팬서의 자사 웹사이트에서도 확인되듯, 팬서 플랫폼은 고객의 AWS 계정 안에서 스노우플레이크(Snowflake)나 데이터브릭스 환경과 직접 연동하여 작동한다. 즉 보안 데이터는 웨어하우스에 그대로 둔 채 탐지 엔진과 에이전트가 현장에서 작동하는 구조다.

경쟁 구도에 미칠 영향

데이터브릭스는 이제 역사적으로 두 유형의 강자가 지배해온 시장에 정면으로 도전하고 있다. 하나는 엔드포인트 중심의 플랫폼(크라우드스트라이크)이며, 다른 하나는 데이터 분석 SIEM(시스코의 스플렁크)이다.

크라우드스트라이크 vs 데이터브릭스
여러 보도에서 데이터브릭스의 핵심 경쟁 상대로 크라우드스트라이크를 지목하고 있다. 크라우드스트라이크의 강점은 엔드포인트 탐지 및 대응(EDR)에서 비롯된 유산과 경량 에이전트 기반의 ‘팔콘(Falcon)’ 플랫폼에 있다. 데이터브릭스의 대응 논리는 아키텍처에 있다. 즉, 보안 텔레메트리를 제3자 클라우드로 전송하는 대신, 기업이 이미 소유하고 통제하는 데이터 레이크에서 직접 AI 기반 탐지와 조사를 수행하도록 한다는 것이다. 팬서 인수는 바로 그 데이터브릭스 환경 위에서 기본 작동하는 AI SOC 계층을 제공하여 자동화된 대응 역량을 강화한다.

스플렁크 vs 데이터브릭스
시스코의 스플렁크는 SIEM 및 보안 분석 분야의 전통적 강자다. 데이터브릭스의 레이크워치와 팬서 인수는 SIEM 모델을 특정 어플라이언스나 인덱서 중심 아키텍처에서 개방형 레이크하우스 아키텍처로 전환하려는 시도다. 이들이 제시하는 가치는 고객이 보안, IT, 비즈니스 데이터를 하나의 플랫폼에서 통합한 뒤, 전체 데이터셋에 AI 에이전트를 적용할 수 있다는 것이다. 기존 SIEM에서 흔히 발생하는 데이터 중복, 인프라 부담, 그리고 특정 벤더에 대한 종속을 피할 수 있다는 점을 적극적으로 어필하고 있다.

플랫폼 확장 전략의 완성
앤티매터, 시프트D.ai, 그리고 이제 팬서로 이어지는 연속적인 인수는 데이터브릭스가 단순히 자사 데이터 플랫폼에 보안 기능 몇 개를 덧붙이는 수준이 아님을 보여준다. 데이터 수집부터 위협 분석, 에이전트 인증, 그리고 AI 기반 SOC 자동화까지 아우르는 완전한 보안 스택을 조립하고 있는 것이다. 데이터브릭스가 언급한 대로 앤트로픽 및 여러 AI 네이티브 기업을 고객사로 둔 팬서의 포트폴리오는, 가장 까다로운 환경을 방어할 수 있다는 즉각적인 신뢰를 데이터브릭스에 부여한다.

남아 있는 질문들

현재 보도된 자료만으로는 몇 가지 중요한 세부 사항이 불분명하다. 정확한 인수 금액과 거래 구조, 팬서가 독립 제품으로 남을지 아니면 레이크워치에 통합될지 여부, 그리고 시장 출시를 위한 정확한 통합 일정 등이 그것이다. 또한 2025년 10월 팬서가 데이터블(Datable)을 인수했다는 보도도 현재 확보된 자료만으로는 독립적으로 확인하기 어렵다.