보안 팀은 위협 조사 및 대응에 필요한 관련 로그를 확보하는 것과 데이터 보존 비용의 균형을 맞추는 데 어려움을 겪는다. 실제로 글로벌 MDR 솔루션 기업 레드 캐너리(Red Canary)가 의뢰하고 센서스와이드(Censuswide)가 2025년 2월에 실시한 300명의 IT 및 보안 전문가를 대상으로 한 새로운 설문 조사에 따르면 기존 SIEM에 저장된 데이터 중 실제 위협 탐지에 유용한 데이터는 35%에 불과하다.

기업 중 가치가 낮은 데이터를 분리해 원시 데이터 저장소에 저렴한 가격으로 저장하는 기업은 13%에 불과했고, SIEM 저장 비용으로 인해 IT 보안 결정권자의 68%가 가치가 낮은 데이터를 폐기하고 후회하지 않기를 바랄 수밖에 없는 것으로 나타났다. 

IT 보안 결정권자의 84%는 비용이 적게 드는 로그를 저장하는 보안 데이터 레이크를 구축하면 SIEM 지출의 가치를 극대화할 수 있다고 응답했고, IT 보안 결정권자의 62%는 규정 준수를 위해 쓸모없는 데이터를 저장하는 데 돈을 낭비하는 데 지쳤다고 답했다.

레드 캐너리가 IT 및 보안 팀이 기존 SIEM에 과도하게 지출하지 않고도 방화벽, DNS 및 SASE 데이터와 같은 자주 액세스하지 않는 대량의 로그를 효율적으로 저장, 검색 및 액세스할 수 있도록 지원하는 서비스인 레드 캐너리 보안 데이터 레이크의 새로운 기능을 발표했다.

레드 캐너리의 새로운 보안 데이터 레이크 기능은 조직이 저가치 데이터를 효율적으로 저장한다. 또한 기존 SIEM 투자를 보완하거나 SIEM 없이 보안 로그를 관리하기 위한 독립 실행형 솔루션이 필요한 경우 유연성, 비용 절감 및 중요한 데이터에 대한 원활한 액세스를 제공한다.

이번에 추가된 기능으로 ▲모든 소스에서 로그 수집 ▲방화벽, DNS 및 SASE 데이터와 같은 대량의 로그 보존 ▲아마존 S3 버킷 또는 Syslog 수집기에 쓸 수 있는 원시, 줄로 구분된 데이터(예: JSON 문자열, Syslog 메시지) 저장 ▲금융 서비스 및 의료 등 거버넌스 준수 ▲보존 요구 사항을 충족하기 위해 로그 무기한 저장 및 요청 시 로그를 전송 ▲위협 조사를 위한 데이터 가용성 보장 ▲SQL 검색 사용 ▲호스트 이름, IP, URL 및 날짜/시간 범위와 등의 데이터 검색 ▲기본 통계 분석 등이 가능하다.

레드 캐너리의 제품 관리 수석 부사장인 매리 라이츠(Mary Writz)는 “SIEM은 역사적으로 이 모든 데이터를 저장하는 가장 일반적인 장소였지만 높은 비용은 조직이 거의 사용하지 않는 로그에 대해 낮은 투자 수익을 얻었다.”라며 “로그 소스가 보안 팀이 위협을 탐지하는 데 도움이 되지 않는다면 조직은 이를 저장하는 데 프리미엄을 지불해서는 안 된다.”라고 전했다.