장기 보존을 위한 Microsoft Sentinel Data Lake 구현

장기 보존을 위한 Microsoft Sentinel Data Lake 구현

2026년 2월 22일

소개: 보안 데이터 보존에 대한 필요성 증가

2026년에는 보안 시스템, 네트워크, 애플리케이션에서 생성되는 데이터의 양이 기하급수적인 수준에 도달했습니다. 이 데이터를 수집하고 분석하는 것은 위협을 탐지하고, 사고를 조사하고, 보안 상태를 유지하는 데 중요합니다. 그러나 보안 로그를 장기간 보관하는 것은 주로 비용과 효율적인 액세스 및 분석 능력과 관련하여 중요한 과제를 제시합니다[1].

GDPR, LGPD, HIPAA 및 기타 산업별 규정과 같은 규정 준수 규정은 조직이 점점 더 오랜 기간 동안 보안 로그를 유지하도록 요구하도록 발전했으며, 핫 스토리지용 SIEM(보안 정보 및 이벤트 관리) 솔루션이 전통적으로 제공하는 90일을 초과하는 경우가 많습니다. 이 데이터를 고성능 스토리지에 수년 동안 보관하는 것은 엄청나게 비용이 많이 들 수 있으며, 이로 인해 조직은 규정 준수, 조사 용량 및 예산 중에서 어려운 선택을 해야 합니다[2].

이러한 딜레마를 해결하기 위해 Microsoft는 조직이 신속한 검색 및 분석 기능을 저하시키지 않으면서 대폭 절감된 비용으로 대량의 보안 데이터를 저장할 수 있는 혁신적인 솔루션인 Microsoft Sentinel Data Lake를 출시했습니다. Sentinel Data Lake는 Microsoft Sentinel과 원활하게 통합되어 KQL(Kusto Query Language) 쿼리를 위해 저렴하지만 여전히 액세스 가능한 스토리지 계층을 활용하여 Log Analytics 이상으로 데이터 보존 기능을 확장합니다[3].

이 기술 및 교육 문서는 보안 분석가, 데이터 설계자 및 IT 관리자가 Microsoft Sentinel Data Lake를 이해하고 구현하도록 안내하는 것을 목표로 합니다. 보안 로그의 장기 보존을 구성 및 관리하여 규정 준수 및 효과적인 조사 기능을 보장하기 위한 이점, 전제 조건 및 자세한 단계별 가이드를 다룹니다.

로그 보존 과제 및 Sentinel 데이터 레이크 솔루션

장기간 보안 로그를 저장하는 것은 다음과 같은 여러 가지 이유로 필수적입니다.

  • 규정 준수: 많은 산업과 관할 지역에서는 감사 및 규정 준수 목적으로 수년간 보안 데이터를 보존할 것을 요구합니다.

  • 지속적 위협 조사(APT): 지능적이고 지속적인 공격은 몇 달 동안 탐지되지 않은 채로 남아 있을 수 있습니다. 기록 데이터는 위협을 사냥하고 사건의 전체 타임라인을 이해하는 데 중요합니다.

  • 포렌식 분석: 침해가 발생한 경우 오래된 로그는 포렌식 분석에 필수적이며 근본 원인, 손상 범위, 공격자가 취한 조치를 파악하는 데 도움이 됩니다.

  • 추세 분석 및 태세 개선: 보안 팀은 기록 데이터를 통해 공격 추세를 식별하고 시간 경과에 따른 방어 효과를 평가하며 지속적으로 보안 태세를 개선할 수 있습니다.

장기 보존의 주요 장애물은 항상 실시간 수집 및 쿼리에 최적화된 Log Analytics의 "핫" 스토리지 비용이었습니다. Sentinel Data Lake는 다음을 통해 이 문제를 해결합니다.

  • 저비용 스토리지 사용: 기록 데이터는 ADLS Gen2(Azure Data Lake Storage Gen2)와 같은 저비용 스토리지 계층으로 이동됩니다. ADLS Gen2는 대용량 데이터 볼륨과 가끔 액세스하는 데 최적화되어 있지만 여전히 분석 쿼리에 허용 가능한 성능을 제공합니다[4].

  • KQL 쿼리 기능 유지: 쿼리를 위해 데이터를 완전히 복원해야 하는 기존 보관 솔루션과 달리 Sentinel Data Lake를 사용하면 Sentinel이 ADLS Gen2에 저장된 데이터에 대해 KQL 쿼리를 직접 실행할 수 있습니다. 이는 분석가가 중단이나 심각한 지연 없이 과거 데이터에 액세스하고 분석할 수 있음을 의미합니다.

  • 간소화된 관리: Microsoft Sentinel과의 기본 통합은 정의된 보존 정책에 따라 Log Analytics에서 Data Lake로의 데이터 전환을 자동화하여 데이터 수명 주기 관리를 단순화합니다.

Microsoft Sentinel 데이터 레이크 운영 원칙

Sentinel Data Lake의 기능은 다음과 같은 몇 가지 주요 원칙을 기반으로 합니다.

  1. 저장 계층: 로그 데이터는 초기에실시간 분석을 위해 Log Analytics("핫" 계층)로 수집됩니다. 구성 가능한 기간이 지나면 자동으로 Azure Data Lake Storage Gen2("콜드" 또는 보관 계층)로 이동됩니다.

  2. 개방형 형식: 데이터는 공개 형식(예: Parquet)으로 Data Lake에 저장됩니다. 이를 통해 Sentinel을 통한 쿼리뿐만 아니라 더 심층적인 분석 또는 다른 시스템과의 통합을 위해 다른 Azure 분석 도구(예: Azure Synapse Analytics, Azure Databricks)를 사용할 수도 있습니다.

  3. 통합 쿼리: Microsoft Sentinel은 분석가가 데이터가 물리적으로 저장된 위치를 알 필요 없이 Log Analytics의 "핫" 데이터와 Data Lake의 "콜드" 데이터를 모두 다루는 KQL 쿼리를 실행할 수 있는 통합 쿼리 인터페이스를 제공합니다[5].

  4. 보안 및 거버넌스: Data Lake는 저장 및 전송 중 암호화, RBAC(역할 기반 액세스 제어), 데이터 거버넌스를 위한 Azure Purview와의 통합을 포함하여 Azure Storage의 보안 기능을 상속합니다.

구현을 위한 전제 조건

Microsoft Sentinel Data Lake를 구현하려면 다음 요소가 필요합니다.

  • 활성 Azure 구독: 스토리지 계정 리소스를 생성하고 Microsoft Sentinel을 구성할 수 있는 권한이 있습니다.

  • Microsoft Sentinel 구성됨: Microsoft Sentinel이 이미 배포되어 로그를 수집하는 Log Analytics 작업 영역입니다.

  • Microsoft Sentinel 라이선싱: Sentinel Data Lake 비용은 ADLS Gen2 스토리지 및 쿼리 실행과 Log Analytics 수집 및 보존 비용을 기준으로 합니다.

  • 관리 액세스: Azure 구독 및 Log Analytics 작업 영역에 대한 기여자 또는 소유자 권한이 있는 계정입니다.

단계별 가이드: Microsoft Sentinel Data Lake 구성

Sentinel Data Lake를 구성하려면 스토리지 계정을 프로비저닝하고 Microsoft Sentinel과 통합해야 합니다.

1단계: Azure Data Lake Storage Gen2 프로비저닝

Azure Data Lake Storage Gen2는 보안 로그의 장기 저장을 위한 기반입니다.

  1. 스토리지 계정 만들기: Azure Portal에서 "스토리지 계정"을 검색하고 + 만들기를 클릭합니다. 기본 세부정보를 입력하세요.

  2. 구독: Azure 구독을 선택합니다.

  3. 리소스 그룹: 새 그룹을 만들거나 기존 그룹을 선택합니다. 보안 리소스를 위한 전용 리소스 그룹을 갖는 것이 좋습니다.

  4. 스토리지 계정 이름: 전역적으로 고유한 이름(예: sentinellakedata)을 선택합니다.

  5. 지역: 성능을 최적화하고 데이터 전송 비용을 최소화하려면 Log Analytics 작업 영역과 동일한 지역을 선택하세요.

  6. 성능: 표준을 선택합니다(대부분의 보관 사용 사례에 해당).

  7. 계정 유형: StorageV2(범용 v2)를 선택합니다.

  8. 중복: 내구성 및 비용 요구 사항에 가장 적합한 중복 옵션을 선택하세요(예: 높은 내구성을 위한 GRS, 저렴한 비용을 위한 LRS).

  9. 계층적 네임스페이스 활성화: 스토리지 계정 생성 중 고급 탭에서 "계층적 네임스페이스" 기능이 활성화되어 있는지 확인하세요. 이는 ADLS Gen2 및 Sentinel Data Lake 기능에 대한 요구 사항입니다.

  10. 검토 및 생성: 설정을 검토하고 만들기를 클릭합니다.

2단계: Azure Sentinel을 데이터 레이크에 연결

스토리지 프로비저닝 후에는 Data Lake를 Azure Sentinel 작업 영역과 통합해야 합니다.

  1. Microsoft Sentinel 포털로 이동: Azure Portal에서 "Microsoft Sentinel"을 검색하고 작업 영역을 선택합니다.

  2. 작업 공간 설정으로 이동: Sentinel 탐색 메뉴에서 설정 > 작업 공간 설정으로 이동합니다.

  3. "데이터 보존 및 보관" 옵션 선택: 작업 공간 설정 내에서 "데이터 보존 및 보관"이라는 새 옵션(2026년에 도입됨)을 찾을 수 있습니다.

  4. 데이터 레이크 연결: "데이터 레이크 연결"을 클릭합니다. 인터페이스는 1단계에서 생성한 ADLS Gen2 스토리지 계정을 선택하도록 안내합니다. Sentinel은 필요한 권한을 자동으로 설정합니다.

3단계: 데이터 보관 정책 정의

Data Lake가 연결되면 이제 보관할 로그 테이블과 보관 기간을 정의할 수 있습니다.그만큼.

  1. 로그 테이블 선택: "데이터 보존 및 보관" 섹션에는 Log Analytics 작업 영역에 수집된 모든 로그 테이블 목록이 표시됩니다. Data Lake에 보관하려는 테이블을 선택합니다(예: SecurityEvent, SigninLogs, AzureActivity, Syslog). 규정 준수 및 조사를 위해 중요한 보안 로그를 보관하는 것이 좋습니다.

  2. Log Analytics에서 보존 시간 설정: 선택한 각 테이블에 대해 Log Analytics에서 "핫" 저장소에 대한 보존 시간을 설정합니다(예: 30, 60 또는 90일). 이 기간이 지나면 데이터는 Data Lake로 이동됩니다.

  3. 데이터 레이크의 보존 시간 정의: 다음으로 데이터 레이크의 데이터 보존 시간을 정의합니다(예: 1년, 3년, 7년). 이 기간은 규정 준수 요구 사항 및 내부 데이터 보존 정책과 일치해야 합니다.

  4. 변경 사항 저장: 보관 정책을 확인합니다. Azure Sentinel은 Log Analytics 보존 기간이 지나면 수동 개입 없이 자동으로 데이터를 Data Lake로 이동하기 시작합니다.

Sentinel 데이터 레이크 모니터링 및 관리

  • 상태 모니터링: Sentinel은 이동된 데이터의 양, 오류, Data Lake에서 사용되는 저장 공간 등 데이터 보관 상태를 추적하기 위한 모니터링 대시보드를 제공합니다.

  • 통합 KQL 쿼리: Azure Sentinel에서 KQL(Kusto 쿼리 언어)을 계속 사용하여 데이터를 쿼리합니다. Sentinel은 스토리지 위치를 추상화하여 "핫" 및 "콜드" 데이터 모두에서 쿼리가 원활하게 실행될 수 있도록 합니다. 예를 들어 SecurityEvent | 여기서 TimeGenerated > ago(2y)는 필요한 경우 Log Analytics와 Data Lake 모두에서 데이터를 가져옵니다.

  • 비용 최적화: ADLS Gen2와 관련된 비용을 모니터링하고 필요에 따라 보존 정책을 조정합니다. 자주 액세스하지 않는 데이터에 대한 비용을 더욱 최적화하려면 ADLS Gen2 내에서 다양한 액세스 계층(핫, 쿨, 보관)을 사용하는 것이 좋습니다.

  • 데이터 레이크 보안: RBAC(역할 기반 액세스 제어), 데이터 암호화, 액세스 정책 및 활동 모니터링을 포함하여 ADLS Gen2에 Azure Storage 보안 모범 사례를 적용합니다.

결론

2026년에 Microsoft Sentinel Data Lake를 구현하는 것은 보안 데이터 스토리지 비용 관리 필요성과 장기적인 규정 준수 요구 사항의 균형을 맞추려는 조직에 필수적인 전략입니다. Microsoft Sentinel의 보존 기능을 확장하고 저렴한 기록 데이터에 대한 통합 KQL 쿼리를 활성화함으로써 Data Lake는 보안 팀이 예산에 영향을 주지 않으면서 심층적인 포렌식 조사, 지속적인 위협 사냥을 수행하고 규정 준수를 유지할 수 있도록 지원합니다. 이 솔루션을 채택하는 것은 단순히 규정 준수의 문제가 아니라 끊임없이 진화하는 위협 환경에서 사이버 탄력성과 사고 대응 역량을 강화하기 위한 전략적 결정입니다.

참고자료

[1] Microsoft 기술 커뮤니티. "월간 뉴스 - 2026년 4월." 사용 가능: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/monthly-news---april-2026/4508050 [2] 클라우드댓. "2026년 Azure DevOps 및 보안 로드맵: 기술 및 인증." 사용 가능: https://www.cloudthat.com/resources/blog/azure-devops-and-security-roadmap-for-2026-skills-and-certifications/ [3] 마이크로소프트 런. "Microsoft Defender for Endpoint의 새로운 기능." 이용 가능: https://learn.microsoft.com/en-us/defender-endpoint/whats-new-in-microsoft-defender-endpoint [4] 마이크로소프트 애저. "Azure Data Lake Storage Gen2." 사용 가능: https://azure.microsoft.com/en-us/products/storage/data-lake-storage [5] 마이크로소프트 런. "Azure Synapse Analytics에서 Azure Data Lake Storage Gen2의 데이터를 쿼리합니다." 사용 가능: https://learn.microsoft.com/en-us/azure/synapse-analytics/sql/query-data-lake-storage-gen2