DPI / AI / Open XDRAI-Sensor

잠들지 않는
경비실— on the AI-Sensor, a sentry that observes, decides, contains, and releases without a single human hand.

AI-Sensor는 신화에이티시큐의 핵심 제품입니다. 기존 방화벽·IPS를 대체하지 않고, 그 위에 24시간 판단하는 레이어를 얹습니다. 탐지 즉시 자동 차단, 기간 만료 시 자동 해제. 야간 당직도, 주말 긴급 출동도, 잊힌 방화벽 규칙도 더 이상 필요하지 않습니다.

The Brief

Section I · p. 02

새벽 세 시, 누군가 회사 네트워크의 바깥벽을 두드립니다. 방화벽 로그에는 흔적이 남지만, 아무도 그것을 읽지 않습니다. 아침이 되어서야 담당자가 로그를 열고, 그제서야 침입이 있었음을—이미 한 걸음 늦게—알게 됩니다. AI-Sensor는 이 간극을 없애기 위해 만들어졌습니다. 세 개의 분석 레인(시그니처, 행위 기반 ML, 킬체인 상관)이 패킷 하나하나를 동시에 읽고, 위험 점수를 매기고, 임계값을 넘으면 수 분 안에 해당 세션을 격리합니다. 그리고—이 점이 결정적인데—위협이 지나가면, 기계가 스스로 차단을 해제합니다. 사람이 잊어버려 영구히 남는 규칙이 없습니다. 담당자는 아침에 요약 한 장을 읽습니다. 지난 밤 무슨 일이 있었고, 무엇이 막혔고, 무엇이 풀렸는지.
탐지만 하는 센서는 이미 많다. 우리는 판단하고, 차단하고, 풀기까지 하는 것을 만들었다.
참고 · AI-Sensor 개요

II

메커니즘 The Mechanism

How the engine reasons

패킷 한 조각이 센서에 도착한 뒤, 4단계를 거쳐 위협이 되거나 사라진다. 모든 과정은 사람의 손을 거치지 않는다.

How the sensor thinks — three concurrent layers over a single mirrored packetSPAN Mirrorwire-rate capturezero impactthree concurrent analytical lanesi. Signature Matching12,400 rules · CVE · YARA · Snort-compatii. Behavioural MLflow features · entropy · baseline driftiii. Kill-Chain Correlatorrecon → intrusion → lateral → exfilScore Fusionrisk = f(σ · β · κ)0 ─── 10082 · BLOCKdownstream actions· block-list· REST → firewall· SIEM · webhookfig. engine pipeline — single packet is fanned out to three analysers, their scores fused into one risk value.
Plate IAI-Sensor · Detection Engine Pipeline
  1. § i.Observe

    감시

    SPAN 미러링 포트로 전체 트래픽을 수신. 기존 네트워크 경로에 끼어들지 않으므로 장애 영향이 0이다. 수집 대상은 L2~L7 전 계층.

  2. § ii.Reason

    판단

    세 개의 분석 레인이 병렬로 돌아간다. 시그니처, 행위 기반 ML, 킬체인 상관. 세 결과를 위험 점수(0~100)로 융합.

  3. § iii.Contain

    차단

    임계값을 넘으면 내장 차단 엔진 또는 연동된 방화벽 REST API를 통해 해당 IP/CIDR을 수 분 내에 격리. 심각도에 따라 1h·24h·1w·영구 단계 자동 선택.

  4. § iv.Release

    해제

    기간이 만료되면 차단 규칙을 자동 삭제. 재공격이 관측되면 자동 재차단 + 기간 상향. 사람이 잊어버려도 규칙이 영구히 남지 않는다.

§ The Autonomous Cycle

하루치의 무인 경계선

아래 도판은 실제 운영 중인 AI-Sensor가 하루 동안 처리한 이벤트를 시간 축 위에 기록한 것이다. 모든 차단은 자동이고, 모든 해제도 자동이다. 아침 출근 시간, 담당자는 요약 한 장을 읽는다.

Detection → Containment → Release — no human hand00:0006:0012:0018:0024:00flow volume03:41 BLOCKrisk 8207:06 BLOCKrisk 7411:38 BLOCKrisk 9117:19 BLOCKrisk 6821:48 BLOCKrisk 79— detection events auto-blocked, then auto-released once risk recededblock eventauto-releaseflow baseline
Plate IIAI-Sensor · Autonomous Cycle (24-hour axis)

III

배치 Deployment & Specifications

Two modes, one sensor

대부분의 조직은 이미 방화벽이 있다. AI-Sensor는 그것을 대체하지 않는다 — 판단만 더한다. 두 가지 배치 모드를 지원한다.

Mode A · Standalone

독립 구성

지점망, 중소 규모 네트워크에 적합. NIC 3개(WAN/LAN/MGMT)만 있으면 된다. 내장된 pf 엔진이 차단을 수행하므로 별도 방화벽 없이도 운영 가능하다. 30분 안에 가동.

독립 구성 · single appliance, inline + mirrorWANAI-SensorWANLANMGMTLAN Switchblockprotected hosts· 3× NIC · 내장 차단 엔진 · 30분 설치 · 소규모 / 지점망· 관리 포탈 HTTPS:8443 — 모바일 접속 지원
Plate III-aStandalone Deployment

Mode B · Integrated

연동 구성

기존 방화벽/IPS를 그대로 둔 채 SPAN 미러링으로 트래픽만 분석한다. 센서는 판단만 내리고, 실제 차단은 기존 장비의 REST API를 호출해 집행한다. 대규모 환경, 다중 게이트웨이 환경에 적합.

연동 구성 · sensor analyses, legacy firewall enforcesWANexisting FW / IPSvendor: AnyREST-capableCore LANSPANAI-Sensoranalyse · score · decideno forwarding planeREST · push block-list· 인프라 무변경 · 벤더 중립 · 대규모 · 다중 게이트웨이 환경
Plate III-bIntegrated Deployment

§ Technical Specifications

제원 at a glance

처리 성능

  • ·단일 노드 5Gbps 기준선
  • ·이중화 구성 시 10Gbps
  • ·세션 동시 100만
  • ·신규 세션 초당 25k

하드웨어

  • ·1RU 어플라이언스
  • ·Intel Xeon 8-core
  • ·RAM 32GB / SSD 960GB
  • ·IPMI 원격 관리

NIC 구성

  • ·1GbE × 4 기본
  • ·10GbE SFP+ × 2 옵션
  • ·Bypass NIC 옵션
  • ·Out-of-band 관리 포트

지연

  • ·미러 경로 0ms (무영향)
  • ·인라인 차단 < 2ms
  • ·API 차단 전파 < 5s
  • ·대시보드 폴링 1s

— 상기 수치는 기준 모델 기준이며, 고객 환경에 따라 상향 구성 가능합니다.

IV

탐지 Detection Capabilities

Three lenses, one verdict

하나의 패킷을 세 개의 시선으로 본다. 각각이 놓친 부분을 다른 두 개가 메운다.

i.

Signature Matching

시그니처 기반 탐지

12,400개 이상의 시그니처를 상시 갱신한다. CVE, YARA, Snort 포맷 호환. 제로데이 대응을 위한 커뮤니티 피드 자동 병합. 사용자 정의 룰도 지원하여 조직 특화 공격 패턴을 직접 등록할 수 있다.

내장 룰12,400+
일일 갱신자동
사용자 룰무제한

· lane 1 / 3

ii.

Behavioural Machine Learning

행위 기반 ML

정상 트래픽의 baseline을 학습해 drift를 탐지한다. 엔트로피, 패킷 간격, 플로우 길이 분포, 상대 주기 등 30여 개 특성을 사용. 시그니처에 없는 새로운 공격이나 내부자 이상 행위를 잡아낸다.

학습 기간7일
특성 수30+
재학습주 단위

· lane 2 / 3

iii.

Kill-Chain Correlation

AI 상관 분석

포트 스캔 → 로그인 시도 → 권한 상승 같은 개별로는 무해한 이벤트를 공격 체인으로 연결한다. MITRE ATT&CK 프레임워크 자동 매핑. 한 시간 창에서 느슨하게 연결된 이벤트들을 하나의 인시던트로 묶어 리포트.

ATT&CKv14
상관 창1h / 6h
추적 단계7 phase

· lane 3 / 3

§ Integration

바깥으로 연결하기

AI-Sensor는 폐쇄된 블랙박스가 아니다. 기존 보안 생태계와 맞물려 돌아간다. 아래 네 가지 축으로 외부와 대화한다.

§ REST API

서비스 토큰 기반 인증. 규칙 CRUD, 이벤트 조회, 통계 집계. OpenAPI 3.0 스펙 제공.

§ SIEM / SOAR

Splunk / ELK / QRadar / Sentinel 포워더. Stellar Cyber 네이티브 연동. Python 스크립트 기본 제공.

§ Webhook

Slack / Teams / Discord / 이메일 / SMS 알림. 심각도 필터링 지원. 재시도 로직 내장.

§ Identity

LDAP / Active Directory / SAML 2.0 / OIDC. 역할 기반 접근 제어(RBAC) 6단계.

V

사례 Use Cases · Field Stories

Before / After

네 개의 현장. 각기 다른 문제였지만, 결국 같은 것이 필요했다 — 잠들지 않는 판단.

01

중소·중견 기업

SMB

경기 · 2025년 봄

Before

보안 전담 인력 없이 외주 MSP에 의존. 밤새 발생한 공격 이벤트는 다음 날 오전에야 확인. 평균 대응 시간 약 18시간.

After

AI-Sensor 도입 후 야간 공격이 자동 차단·기록. 담당자는 아침 리포트 1장으로 상황을 파악. 인력 추가 없이 24/7 커버리지 확보.

우리는 전담 보안팀이 없습니다. 그런데 이 제품은 전담 없이도 돌아갑니다.

결과

18h → 실시간

평균 대응 시간

02

공공기관

Government

세종 · 2025년 여름

Before

국가정보보안기본지침 준수를 위해 전수 감사 로그가 필요. 기존 장비는 샘플링만 지원. 감사원 점검 때마다 로그 누락 지적.

After

AI-Sensor는 모든 이벤트를 100% 기록. 차단 사유, 해제 사유, 실행 주체(자동/수동)가 분리되어 저장. 감사 대응 준비 시간이 주 단위에서 시간 단위로.

감사 대응 문서를 준비하느라 매달 이틀을 써왔습니다. 이제는 쿼리 한 줄이면 끝납니다.

결과

100%

전수 감사 로그

03

교육·의료

Education & Medical

대구 · 2025년 가을

Before

수만 명의 학생/환자가 동시 접속. 의료 장비는 절대 오차단되면 안 됨. 기존 IPS는 오탐이 많아 사실상 탐지 모드로만 운영.

After

AI-Sensor는 의료 장비 IP 대역에 대해 긴급 바이패스 규칙을 설정. 일반 학생망은 완전 자동화. 오탐 발생 시에도 자동 해제로 가용성 보장.

오탐이 발생해도 한 시간 뒤에는 알아서 풀립니다. 가용성에 대한 걱정이 사라졌습니다.

결과

0건

의료 장비 오차단

04

제조

Manufacturing

울산 · 2025년 여름

Before

본사 IT망과 공장 OT망의 경계가 모호. 랜섬웨어가 사무망을 거쳐 공장까지 확산될 위험. 수작업 세그멘테이션 규칙 관리의 한계.

After

AI-Sensor가 양쪽 경계에 배치되어 자동 세그멘테이션. 이상 트래픽이 OT 방향으로 향하면 즉시 차단. 위협 차단율 99.7%.

공장이 멈추면 하루 수십억의 손실입니다. 사람이 놓칠 수 있는 순간을, 기계가 메웁니다.

결과

99.7%

위협 차단율

네 현장의 공통점은 하나다 — 사람이 잠든 시간, 기계가 깨어 있었다.
참고 · 공통분모

§ Comparison

기존 IDS/IPS와의 차이

항목
기존 IDS / IPS
AI-Sensor
탐지 방식
시그니처 기반 단일
시그니처 + 행위 ML + 상관
차단 판단
사람이 내림
자동 (위험 점수 기반)
해제 관리
수동 (잊히기 쉬움)
자동 (기간 만료 시)
배치 영향
인라인 (장애 위험)
미러 (무영향)
야간 운영
당직 필요
무인
감사 로그
부분 기록
전수 기록
확장성
벤더 락인
REST API 개방

§ Frequently Asked

자주 묻는 질문

  1. Q.01

    기존 방화벽을 걷어내야 하나요?

    아닙니다. AI-Sensor는 두 가지 배치 모드를 지원합니다. 독립 구성에서는 내장 차단 엔진으로 단독 운영이 가능하고, 연동 구성에서는 기존 방화벽(Palo Alto, Fortinet, Cisco, 국산 제품 등)을 그대로 두고 SPAN 미러링만 연결하면 됩니다.

  2. Q.02

    오탐으로 정상 업무가 막히지 않을까요?

    세 가지 안전장치가 있습니다. 첫째, 자동 해제 기능으로 임시 차단은 설정된 시간 뒤에 반드시 풀립니다. 둘째, 화이트리스트 CIDR 지정으로 핵심 시스템은 사전에 보호할 수 있습니다. 셋째, 모바일 포탈에서 긴급 바이패스를 1초 안에 실행할 수 있습니다.

  3. Q.03

    설치와 학습에 얼마나 걸리나요?

    하드웨어 설치 자체는 30분이면 끝납니다. 그 뒤 행위 기반 ML이 정상 트래픽 baseline을 학습하는 데 약 7일이 필요합니다. 이 기간 동안에도 시그니처 기반 탐지는 즉시 가동되며, ML이 학습을 마치면 자동으로 탐지 품질이 올라갑니다.

  4. Q.04

    처리 가능한 트래픽 용량은 얼마나 됩니까?

    기준 모델(단일 노드)은 약 5Gbps의 실트래픽을 처리합니다. 10Gbps 이상이 필요한 환경에서는 이중화 구성, 또는 AppLogic DPI와의 조합으로 400GE 이상의 처리량까지 확장할 수 있습니다.

  5. Q.05

    다른 제품(예: IDS/IPS)과 무엇이 다릅니까?

    전통적인 IDS/IPS는 시그니처 기반이 중심이고, 차단 결정을 사람이 내립니다. AI-Sensor는 세 개의 분석 레인(시그니처 + 행위 ML + 킬체인 상관)을 병렬로 돌리고, 판단과 차단, 그리고 자동 해제까지 무인으로 수행한다는 점이 근본적인 차이입니다.

  6. Q.06

    사고 발생 시 책임 구분은 어떻게 됩니까?

    모든 자동 차단/해제 이벤트는 실행 주체(system/user), 실행 시각, 적용된 룰, 트리거 이벤트가 감사 로그에 기록됩니다. 시스템이 자동으로 내린 결정과 담당자가 수동으로 내린 결정이 완전히 분리되어 남으므로, 사후 감사 시 책임 구분이 명확합니다.

End of Brief

About

AI-Sensor — 신화에이티시큐에서 작성한 기술 개요. 수치는 2024년 기준이며, 실제 환경에 따라 달라질 수 있습니다.

Spec

등급:
버전: v4.2 · 2024.11
제작: SHATSECU · 2026

Related

도입 문의하기
AI-Sensor | SHATSECU