Salesforce의 Event monitoring에 대한 모든 정보 모음 (요약있음)

 

초핵심 요약
1. Event monitoring이란?: salesforce의 기본 기능에는 포함되어 있지 않은 상세한 로깅 기능을 지원하는 애드온이다.
2. 가격 정책: 단독으로 구매 가능하지만, Shield라는 패키지에 포함하여 구매 가능하다. 가격은 총 이용료의 10% (또는 30%)

 

현대 기업의 비즈니스 생태계가 디지털 트랜스포메이션을 넘어 인공지능(AI) 중심의 자율형 기업(Agentic Enterprise)으로 진화함에 따라, 기업 내 핵심 자산인 고객 데이터에 대한 보안과 통제력은 그 어느 때보다 중요해졌다. 전 세계적으로 강화되는 데이터 보호 규제와 지능화되는 내부자 위협(Insider Threat)에 대응하기 위해, 많은 엔터프라이즈 기업들은 Salesforce 플랫폼 내에서 발생하는 모든 활동을 정밀하게 추적하고 관리할 수 있는 가시성을 필요로 한다. 이러한 요구사항을 충족하기 위한 핵심 솔루션이 바로 Salesforce Event Monitoring이다. 본 보고서는 Salesforce Event Monitoring의 기술적 아키텍처, Salesforce Shield 패키지와의 상관관계, 상세한 가격 정책, 그리고 실제 비즈니스 적용 사례를 10년 이상의 IT 컨텐츠 에디터 시각에서 심층적으로 분석하여 전달한다.

Salesforce Shield 패키지와 Event Monitoring의 상관관계 및 구성

Salesforce Event Monitoring은 단독 애드온(Add-on) 형태로 구매할 수도 있으나, 일반적으로는 Salesforce의 종합 보안 스위트인 'Salesforce Shield'의 핵심 모듈로서 도입된다. Shield는 엔터프라이즈 환경에서 요구되는 높은 수준의 규제 준수와 데이터 보호를 위해 설계된 패키지로, Event Monitoring을 포함한 네 가지 주요 기능이 유기적으로 결합되어 시너지를 창출한다.

Salesforce Shield의 핵심 구성 요소

Salesforce Shield는 단순히 개별 보안 도구의 집합이 아니라, 데이터의 탐지, 암호화, 감사, 가시성 확보라는 보안의 전 과정을 포괄하는 프레임워크를 제공한다.

구성 요소	기술적 정의 및 역할	주요 활용 시나리오
Event Monitoring	사용자 활동 및 시스템 성능 데이터에 대한 세밀한 로그 제공	내부 보안 위협 탐지, 리포트 수출 추적, 성능 최적화
Platform Encryption	데이터 저장 시(At-rest) 필드 수준의 256비트 AES 암호화 적용	민감 고객 정보 보호, 규제(GDPR, HIPAA) 대응
Field Audit Trail	데이터 변경 이력을 최대 10년까지 보관하고 상태 추적	과거 데이터 무결성 검증, 장기 감사 증적 확보
Data Detect	조직 내 민감 정보(PII 등)를 자동으로 스캔하고 분류	데이터 거버넌스 자동화, 암호화 대상 식별

Event Monitoring은 이 중에서도 '가시성'의 중추를 담당한다. 예를 들어 Platform Encryption이 데이터를 암호화하여 보호한다면, Event Monitoring은 누가 그 암호화된 데이터에 접근했는지, 그리고 그 행동이 비정상적인지를 판단하는 근거 데이터를 제공한다. 따라서 Shield를 도입하는 기업은 데이터 보호의 정적인 측면(암호화)과 동적인 측면(모니터링)을 동시에 확보하게 된다.

Event Monitoring의 독립적 위상과 범위

Event Monitoring은 Shield 패키지의 일부이면서도 기술적으로는 독립적인 API 구조를 가진다. 이 솔루션은 Salesforce 내에서 발생하는 70가지 이상의 다양한 이벤트 유형을 추적하며, 이는 표준 기능인 '로그인 히스토리(Login History)'나 '설정 감사 내역(Setup Audit Trail)'이 제공하는 6개월간의 제한된 가시성을 뛰어넘는 광범위한 데이터를 제공한다. 특히 표준 도구가 관리자 수준의 설정 변경에 집중하는 반면, Event Monitoring은 일반 사용자가 데이터를 조회하거나 리포트를 실행하는 미세한 행위까지도 모두 기록한다.

Event Monitoring의 3대 기술적 프레임워크와 아키텍처 분석

Salesforce Event Monitoring을 효과적으로 활용하기 위해서는 데이터가 생성되고 저장되는 세 가지 주요 기술적 프레임워크를 이해해야 한다. 각 프레임워크는 데이터의 실시간성, 보관 주기, 접근 방식에서 뚜렷한 차이를 보인다.

1. Event Log File (ELF) 프레임워크

ELF는 가장 포괄적인 이벤트 데이터를 담고 있는 배치(Batch) 기반의 프레임워크다. Salesforce 플랫폼 내에서 발생하는 트랜잭션의 사본을 EventLogFile이라는 표준 개체에 저장한다.

• 데이터 생성 메커니즘: 이벤트가 발생하면 실시간으로 로그가 쌓이지만, 사용자가 접근할 수 있는 형태의 파일로 생성되는 것은 시간별(Hourly) 또는 일별(Daily) 주기로 이루어진다. 일별 로그는 보통 UTC 기준 24시간 주기로 생성되며 다음 날 비피크 시간대에 가용해진다.
• 데이터 형식 및 보관: CSV 형태의 base64 인코딩된 파일로 저장되며, 데이터 또는 파일 저장 용량 할당량(Storage Allocation)에 포함되지 않는다는 이점이 있다.
• 보관 주기: Shield 또는 EM 애드온 구독 시 기본 30일간 보관되며, 설정에 따라 최대 1년까지 연장 가능하다. 반면 무료 버전인 Developer Edition이나 Trial 조직은 1일만 보관된다.

2. Real-Time Event Monitoring 프레임워크

Apache Kafka와 Big Objects 기술을 기반으로 하는 이 프레임워크는 보안 위협에 대한 즉각적인 대응을 목표로 한다.

• 실시간 스트리밍: 이벤트 발생 즉시 또는 거의 실시간(Near real-time)으로 데이터를 캡처한다. 이는 보안 팀이 침해 사고 발생 시 골든타임을 확보할 수 있게 해준다.
• 트랜잭션 보안 정책(Transaction Security Policy): 실시간 이벤트를 가로채어 정의된 정책에 따라 행동을 차단(Block)하거나 MFA를 강제할 수 있는 기능을 제공한다.
• 이벤트 범위: ELF보다 적은 수의 핵심 보안 이벤트(약 20종)에 집중하며, 데이터는 Big Objects에 저장되어 최대 6개월간 보관된다.

3. Event Log Object (ELO) 프레임워크

Hyperforce 고객을 위해 새롭게 도입된 이 프레임워크는 로그 데이터를 표준 Salesforce 개체처럼 다룰 수 있게 해준다.

• SOQL 접근성: 별도의 API 추출 과정 없이 Salesforce 내부에서 직접 SOQL을 사용하여 로그 데이터를 쿼리할 수 있다. 이는 복잡한 외부 시스템 연동 없이도 필요한 정보를 즉시 필터링하고 집계하는 데 매우 유리하다.
• 지연 시간 단축: 데이터 발생 후 약 25분에서 45분 이내에 쿼리가 가능하므로, ELF의 배치 처리 방식과 실시간 스트리밍 방식 사이의 균형을 맞춘 형태다.
• 보관 주기: 현재 최대 30일간의 데이터를 보관하며, CRM Analytics를 통해 직접 시각화가 가능하다.

비교 항목	Event Log File (ELF)	Real-Time Event Monitoring	Event Log Object (ELO)
전송 방식	비동기 배치 (시간/일 단위)	실시간 스트리밍	준실시간 (25~45분 지연)
이벤트 종류	74종 이상 (포괄적)	20종 (핵심 보안 위협 중심)	43종 이상 (확장 중)
저장 위치	파일 저장소 (EventLogFile)	Big Objects	표준 개체 형태 (ELO)
주요 용도	사후 감사, 장기 추세 분석	실시간 차단, 공격 탐지	내부 쿼리, 즉각적 장애 대응
보관 기간	최대 1년 (설정 시)	최대 6개월	최대 30일

핵심 이벤트 유형과 비즈니스 활용 사례 상세 분석

Event Monitoring은 단순한 로그 수집 도구가 아니라, 비즈니스 운영의 투명성을 높이고 리스크를 관리하는 전략적 도구다. 70가지가 넘는 이벤트 중 기업에서 가장 중요하게 다뤄야 할 핵심 이벤트들을 상세히 살펴본다.

보안 및 데이터 유출 방지 (DLP) 시나리오

기업의 가장 큰 자산인 고객 리스트와 기회(Opportunity) 정보의 유출을 막는 것은 보안 팀의 최우선 과제다.

• Report Export Event: 사용자가 리포트를 파일로 내보낼 때 발생한다. 만약 퇴사를 앞둔 영업 직원이 수만 건의 고객 정보를 내보내려 한다면, 이 이벤트를 통해 즉시 감지하고 차단할 수 있다.
• Login Event: 로그인 위치(IP), 브라우저 정보, 세션 ID 등을 포함한다. 평소와 다른 국가에서의 접속이나 신뢰할 수 없는 기기에서의 접근을 식별하여 계정 도용 공격(Credential Stuffing)을 방어한다.
• API Event: 외부 앱이나 통합 시스템을 통한 데이터 접근을 추적한다. 비정상적으로 짧은 시간 동안 대량의 API 쿼리가 발생할 경우, 이를 데이터 스크래핑 시도로 간주하고 대응할 수 있다.

시스템 성능 및 가용성 최적화

시스템의 지연 현상은 사용자 채택률(Adoption Rate)을 떨어뜨리고 비즈니스 효율성을 저해한다. 아키텍트는 로그 데이터를 통해 성능 병목 지점을 정확히 짚어낼 수 있다.

• Lightning Performance Event: 페이지 로드 시간인 EPT(Experienced Page Time)를 측정한다. 특정 지역이나 브라우저에서 페이지 로드가 유독 느린지, 혹은 특정 커스텀 컴포넌트가 로드 시간의 대부분을 차지하는지 분석할 수 있다.
• Apex Execution Event: 실행된 Apex 클래스의 이름, 소요 시간, CPU 사용량 등을 기록한다. 거버너 제한(Governor Limits)에 근접한 코드나 비효율적인 루프를 식별하여 코드 리팩토링의 근거로 활용한다.
• Concurrent Long-Running Apex Limit Event: 동시에 실행되는 긴 Apex 작업이 한계치를 초과하여 시스템이 응답하지 않는 상황을 모니터링한다. 이를 통해 비동기 처리로 전환해야 할 작업을 우선순위화할 수 있다.

규정 준수 및 감사 증적 (Audit Trail)

금융, 의료 등 규제가 엄격한 산업군에서는 '누가 데이터를 보았는가' 자체를 증빙해야 한다.

• URI Event: 사용자가 Salesforce 내에서 클릭한 모든 URL 경로를 추적한다. 특정 사용자가 자신의 업무 범위 밖의 민감한 레코드를 반복적으로 조회했는지 확인하는 데 결정적인 증거가 된다.
• Permission Update Event: 사용자에게 부여된 권한이 변경되거나 '모든 데이터 보기(View All Data)'와 같은 강력한 권한이 할당될 때 이를 기록한다. 관리자 권한 남용을 방지하기 위한 필수 체크 포인트다.

가격 정책 및 라이선스 도입 전략

Salesforce Event Monitoring의 가격은 고정된 정가가 아니라, 기업의 전체 Salesforce 라이선스 비용인 'Net Spend'에 연동되는 구조를 가진다. 이는 조직의 규모와 복잡성에 비례하여 보안 가치가 커진다는 철학이 반영된 결과다.

상세 비용 구조 및 산정 방식

도입 형태	가격 산정 기준 (Net Spend 대비)	특징 및 포함 사항
Salesforce Shield (Suite)	약 30% 추가 비용	EM, Platform Encryption, Field Audit Trail, Data Detect 전체 포함
Event Monitoring (Stand-alone)	약 10% 추가 비용	Event Monitoring 기능 단독 사용 (주로 보안 가시성만 필요한 경우)
Security Center (Add-on)	약 10% 추가 비용	다중 조직(Multi-org) 관리 시 보안 지표 통합 대시보드 제공

• Net Spend의 정의: 기업이 Salesforce에 지불하는 총 연간 계약 금액을 의미한다. 예를 들어 연간 라이선스 비용이 1억 원인 기업이 Shield를 도입하려면 연간 3,000만 원의 추가 비용이 발생한다.
• 에디션별 기본 제공량: Enterprise 및 Unlimited 에디션 고객은 별도의 구매 없이도 'API Total Usage' 이벤트 로그를 1일간 보관하는 혜택을 받는다. 이는 대략적인 API 소모량을 파악하는 용도로 사용 가능하다.

도입 시 고려해야 할 ROI 요소

단순히 비용 측면에서만 접근하기보다, 사고 발생 시의 잠재적 손실액(벌금, 평판 저하)과 비교하는 것이 타당하다.

1. 규제 벌금 회피: GDPR 위반 시 전 세계 매출의 최대 4%가 벌금으로 부과될 수 있으며, HIPAA 위반 역시 수백만 달러의 합의금을 초래한다. Event Monitoring은 이러한 위험을 사전에 차단하거나 사후 소명할 수 있는 자료를 제공한다.
2. 운영 효율성 개선: 성능 로그 분석을 통해 페이지 로드 시간을 1초만 단축해도 전사 사용자 생산성은 기하급수적으로 향상된다. 이는 라이선스 비용 이상의 가치를 창출한다.
3. 데이터 유출 방지: 내부자에 의한 기밀 유출은 기업 경쟁력에 치명적이다. Transaction Security를 통한 실시간 차단 기능은 단 한 번의 유출 사고만 막아도 도입 비용 전체를 회수하는 효과가 있다.

데이터 보관 정책과 장기 저장 전략 (Offloading)

Salesforce Event Monitoring이 제공하는 기본 보관 기간은 30일(최대 1년)로 제한적이다. 하지만 많은 법적 규제는 6년에서 7년 이상의 데이터 보관을 요구하므로, 이를 해결하기 위한 데이터 오프로딩(Offloading) 전략이 필수적이다.

주요 규제별 보관 의무 기간

규제 명칭	필수 데이터 보관 기간	주요 요구사항
SOX (Sarbanes-Oxley)	7년	재무 관련 레코드 및 시스템 접근 로그 보관
HIPAA	6년	건강 정보 접근에 대한 보안 감사 추적 유지
GDPR	필요 시까지	데이터 처리의 투명성 및 사고 발생 시 입증 책임 준수

효과적인 데이터 오프로딩 프로세스

기업은 Salesforce API를 활용하여 정기적으로 로그 데이터를 추출하고 외부 저장소로 이전해야 한다.

1. 추출(Extract): REST API 또는 Bulk API를 사용하여 EventLogFile 개체에서 로그 데이터를 다운로드한다. 100MB 이상의 대용량 파일은 cURL과 같은 도구를 사용하여 Blob 형태로 직접 가져오는 것이 권장된다.
2. 변환 및 로드(Transform & Load): 추출된 CSV 데이터를 Splunk, Sumo Logic, Snowflake 또는 AWS S3와 같은 외부 분석/저장 플랫폼으로 전송한다.
3. 장기 보관 및 분석: 외부 SIEM(Security Information and Event Management) 시스템에 로드된 데이터는 Salesforce 외부의 다른 시스템 로그와 교차 분석되어 보다 정밀한 보안 위협 탐지에 활용된다.

CRM Analytics 통합 및 시각화

로그 데이터는 그 자체로 방대한 텍스트 파일에 불과하지만, 시각화 도구와 결합될 때 비로소 실행 가능한 통찰력(Actionable Insight)을 제공한다.

Event Monitoring Analytics 앱 활용 단계

Salesforce는 Event Monitoring 전용 Analytics 앱을 제공하여 복잡한 설정 없이도 대시보드를 구성할 수 있게 지원한다.

• 권한 부여: 사용자에게 'Event Monitoring Analytics App' 권한 세트 라이선스를 할당한다.
• 앱 생성: 데이터 세로 고침 방식을 선택한다. 과거 데이터를 모두 가져오는 'Full Refresh'와 새로 발생한 로그만 추가하는 'Incremental Refresh' 중 비즈니스 요구에 맞는 방식을 선택할 수 있다.
• 스케줄링: 데이터플로우(Dataflow)를 일 단위로 스케줄링하여 매일 아침 최신 보안 지표를 대시보드에서 확인할 수 있도록 설정한다.

이 앱을 통해 관리자는 "지난 24시간 동안 가장 많은 데이터를 내보낸 상위 5인", "평균 로드 시간이 5초를 초과하는 페이지 리스트", "비정상적인 위치에서의 로그인 시도" 등을 직관적으로 파악할 수 있다.

2026년 모니터링 로드맵: AI와 Agentforce의 결합

Salesforce의 미래는 AI 에이전트인 Agentforce에 있으며, 모니터링 체계 역시 이러한 AI 활동을 감시하고 투명성을 확보하는 방향으로 진화하고 있다.

AI 거버넌스를 위한 가동 가시성

사용자가 AI와 대화하고 작업을 위임함에 따라, AI가 내린 결정의 근거를 추적하는 것이 새로운 과제가 되었다.

• Enhanced Event Logs: Agentforce 세션 내에서 발생한 사용자 메시지와 AI의 응답, 그리고 AI가 실행한 액션(Action)을 상세히 기록한다. 이는 AI가 잘못된 답변을 하거나 권한 밖의 행동을 했을 때 원인을 규명하는 데 핵심적인 역할을 한다.
• Data Cloud 통합 모니터링: Salesforce 외부의 데이터까지 통합하여 분석하는 Data Cloud의 로그 역시 Event Monitoring 프레임워크 내로 통합되고 있다. 이는 기업 전체의 데이터 흐름을 한곳에서 모니터링할 수 있는 'Unified Observability'를 가능하게 한다.
• 위협 탐지의 지능화: 과거에는 단순 임계치(예: 1,000건 조회) 기반으로 알림을 보냈다면, 이제는 AI 기반의 'Threat Detection'이 사용자의 행동 패턴을 학습하여 평소와 다른 미세한 이상 징후를 스스로 찾아낸다.