Published on

왜 Splunk는 비싼데도 기업들이 계속 사용할까?

Authors
  • avatar
    Name
    Yumi Yang
    Twitter

SIEM(Security Information and Event Management) 솔루션을 이야기할 때 빠지지 않는 이름이 있다. 바로 Splunk다. 처음 Splunk 가격을 접하면 대부분 비슷한 반응을 보인다.

"로그 저장하는데 왜 이렇게 비싸?"

실제로 Splunk는 많은 기업이 도입을 고민하다가 가격 때문에 포기하는 제품으로도 유명하다. 그런데 이상한 점이 있다. 수많은 오픈소스 대안이 존재하는 지금도 여전히 많은 대기업과 금융권, 공공기관은 Splunk를 사용한다. 왜일까?

로그 저장소가 아니다

많은 사람들이 Splunk를 로그 저장소라고 생각한다. 하지만 Splunk를 단순 저장소로 보면 가격이 비싸게 느껴질 수밖에 없다. 실제로 Splunk가 제공하는 것은 저장소가 아니다.

로그 운영 플랫폼이다.

로그가 들어오면 무슨 일이 일어날까?

단순히 로그를 저장하는 시스템이라면 구조는 매우 단순하다.

하지만 실제 운영 환경은 훨씬 복잡하다.

운영자는 단순히 로그를 저장하고 싶은 것이 아니다. 다음과 같은 질문에 답하고 싶어 한다.

  • 지금 서버에 장애가 발생했는가?
  • 누가 관리자 계정에 로그인했는가?
  • 이상한 네트워크 트래픽이 있는가?
  • 랜섬웨어 공격 징후가 있는가?

Splunk는 이러한 과정을 하나의 플랫폼 안에서 제공한다.

OpenSearch가 있는데 왜 Splunk를 사용할까?

OpenSearch 역시 로그를 저장하고 검색할 수 있다. 실제로 많은 기업이 Splunk 대신 OpenSearch를 검토한다. 비용 차이가 크기 때문이다.

OpenSearch

장점

  • 오픈소스
  • 라이선스 비용 없음
  • 대규모 확장 가능

단점

  • 직접 운영해야 함
  • 클러스터 관리 필요
  • 장애 대응 필요
  • 튜닝 필요

Splunk

장점

  • 운영 기능 포함
  • 대시보드 포함
  • 알림 기능 포함
  • 보안 분석 기능 포함

단점

  • 비쌈

정말 비쌈.

기업이 돈을 내는 이유

기업은 기술보다 비용을 계산한다. 여기서 비용은 라이선스 비용만 의미하지 않는다.

예를 들어

Splunk 라이선스 비용이 연간 1억 원이라고 가정하자. 비싸 보인다. 하지만 OpenSearch를 직접 운영하기 위해

  • 엔지니어 2명
  • 야간 장애 대응
  • 클러스터 관리
  • 업그레이드
  • 성능 튜닝

이 필요하다면 상황이 달라진다.

결국 기업이 사는 것은 기능이 아니다

Splunk가 판매하는 것은 사실 기능이 아니다. 기업이 구매하는 것은 운영의 편의성이다.

비싼 이유는 사람이 하기 싫은 일을 대신하기 때문이다

운영 경험이 쌓일수록 느끼는 점이 있다. 기술은 생각보다 싸다. 비싼 것은 사람의 시간이다.

예를 들어

  • 로그 수집
  • 필드 추출
  • 인덱스 관리
  • 검색 최적화
  • 경보 설정
  • 대시보드 구성

이 모든 작업은 직접 구현할 수 있다. 문제는 유지보수다. Splunk는 이런 작업을 제품으로 제공한다.

그런데 왜 기업들은 OpenSearch로 이동할까?

그럼에도 최근에는 OpenSearch를 선택하는 기업이 늘고 있다. 이유는 단순하다. 데이터 양이 너무 많아졌기 때문이다.

데이터가 커질수록 라이선스 비용도 함께 증가한다. 이 시점부터는 운영 비용보다 라이선스 비용이 더 커지기 시작한다.

그래서 기업들은 Splunk -> 비용 증가, OpenSearch 검토 -> 자체 운영이라는 선택을 하게 된다.

그래서 누가 이길까?

당연하게도 정답은 없다.

Splunk

  • 운영이 편하다
  • 기능이 많다
  • 빠르게 구축 가능하다

OpenSearch

  • 자유롭다
  • 확장성이 좋다
  • 비용이 낮다

자체 엔진

  • 가장 최적화 가능
  • 가장 어렵다

국내 시장에서는 어떨까?

최근에는 OpenSearch 기반 플랫폼이나 국내에서 개발된 로그 분석 플랫폼도 점점 더 많은 관심을 받고 있다. 과거에는 SIEM 구축을 검토하면 Splunk와 같은 글로벌 솔루션이 사실상 표준처럼 여겨졌지만, 최근에는 비용 구조와 운영 환경이 다양해지면서 선택지도 함께 늘어나고 있다. 특히 국내 기업들은 다음과 같은 요소를 중요하게 고려하는 경우가 많다.

  • 총 소유 비용(TCO)
  • 데이터 주권
  • 온프레미스 지원 여부
  • 빠른 기술 지원
  • 고객 환경에 맞는 커스터마이징

이러한 요구사항 때문에 OpenSearch 기반 플랫폼이나 국내 솔루션을 검토하는 사례도 점점 늘어나고 있다. 현재 나 역시 로그 분석 플랫폼을 개발하는 팀에서 일하고 있다 보니 단순히 검색 성능만 좋은 제품보다 운영과 분석/비용까지 균형 있게 고려하는 것이 중요하다는 생각을 하게 된다. 결국 중요한 것은 어떤 제품이 최고인가가 아니라,

우리 조직에 가장 적합한 선택이 무엇인가 인 것 같다.

마치며

많은 사람들이 Splunk와 OpenSearch를 경쟁 제품으로 생각한다. 하지만 실제로는 조금 다르다. OpenSearch는 검색 엔진에 가깝고, Splunk는 운영 플랫폼에 가깝다. 결국 기업은 저장 기술을 구매하는 것이 아니다.

장애를 빨리 찾고, 보안 사고를 빠르게 분석하고, 운영 부담을 줄이는 방법을 구매한다.

그래서 Splunk는 비싸다. 그리고 그래서 지금도 많은 기업이 Splunk를 사용한다. 다만 데이터 규모가 커질수록 비용과 운영 사이에서 새로운 균형점을 찾게 된다. 최근 OpenSearch와 자체 로그 플랫폼이 주목받는 이유도 여기에 있는 것 같다.