Databricks, Lakewatch 공개… machine-speed 방어를 겨냥한 open agentic SIEM 제시

Databricks가 발표한 내용

Databricks는 2026년 3월 24일, Lakewatch를 새로운 open agentic SIEM으로 공개했다. Databricks 공식 블로그에 따르면 Lakewatch는 security, IT, business data를 하나의 governed environment로 통합하고, 그 위에서 AI agent가 위협 탐지, 조사, 대응을 자동화하도록 설계됐다. Databricks는 이 제품이 Private Preview 단계에 들어가며 Adobe와 Dropbox 같은 고객이 초기 참여 중이라고 밝혔다.

이번 발표의 핵심 논리는 분명하다. 공격자는 이미 AI agent를 활용해 24시간 기계 속도로 움직이는데, 대부분의 보안 운영은 아직도 사람 속도에 맞춰 설계돼 있다는 것이다. Databricks는 AI가 오픈소스 코드에서 수백 개의 zero day를 찾아내고, bug bounty 상위권에 agent가 등장하며, 평균 exploit 시간도 빠르게 줄고 있다고 지적한다. 글에서는 ZeroDayClock.com 수치를 인용해 평균 exploit 시간이 2025년 23.2일에서 2026년 1.6일로 줄었다고 설명한다.

Lakewatch의 포지셔닝

Databricks는 Lakewatch가 lakehouse의 경제성과 아키텍처를 security operations에 가져온다고 주장한다. 저장소와 compute를 강하게 묶는 기존 SIEM과 달리, 기업은 100%의 telemetry를 보관할 수 있고 chat log, collaboration trace, video 같은 multimodal data도 business data와 함께 분석할 수 있다는 설명이다. 이는 현대 공격이 부서 간, 시스템 간, 데이터 사일로 간의 빈틈을 노린다는 점에서 의미가 있다.

또한 Databricks는 내장 AI도 강조한다. 회사는 Genie가 새로운 log source를 OCSF로 정규화하고, 최신 threat intelligence를 바탕으로 탐지 규칙을 만들고, false positive를 줄이기 위해 기존 rule을 조정하며, 자연어 질문을 SQL로 바꾸는 데 도움을 줄 수 있다고 설명한다. 즉 Lakewatch는 AI 기능이 붙은 SIEM이 아니라, 조직의 governed data가 있는 곳에서 방어 agent가 직접 작동하는 플랫폼으로 포지셔닝된다.

왜 중요한가

이번 발표는 AI 인프라 경쟁이 security operations 깊숙이 들어가고 있다는 신호다. Databricks는 단순한 analytics 확장을 제안하는 것이 아니라, 기존 SIEM의 비용 구조와 아키텍처가 AI 시대의 공격 속도와 맞지 않는다고 주장한다. 방어자가 비용 때문에 ingest를 줄이고, 과거 데이터를 지우고, multimodal source를 포기한다면 공격자와의 비대칭은 더 커질 수밖에 없다.

따라서 Lakewatch는 제품 발표이면서 동시에 시장 가설이기도 하다. 제품 차원에서는 open format, 저렴한 보관, business context와의 governed join, agentic automation을 한 스택에 넣겠다는 것이고, 시장 차원에서는 human-speed 조사 중심의 보안 도구만으로는 더 이상 부족하다는 주장이다. 실제 성과는 실행에 달렸지만, SIEM 경쟁 축이 data scale, multimodal coverage, AI-native response loop로 옮겨가고 있다는 점은 분명하다.