DPI / AI / Open XDRAppLogic DPI

패킷의 본문을
읽는다— on ActiveLogic, AppLogic Engine, and AppLenX, which together dissect application conversations at 400GE wire rate.

AppLogic DPI는 ActiveLogic 데이터 플레인, AppLogic Engine 분류 엔진, AppLenX 플로우 분류기로 구성된 제품군입니다. 400GE 인터페이스와 1 Tbps를 넘는 대형 어플라이언스에서 와이어 레이트로 트래픽을 해부하며, TLS·QUIC으로 감싸진 흐름도 메타데이터 분석으로 95% 이상 식별합니다. 국내 주요 은행에서는 분기 보안 사고를 60% 낮췄습니다.

§ The Brief

Section I · p. 02

대부분의 방화벽은 패킷의 겉봉투만 읽습니다. IP, 포트, 프로토콜 번호—거기까지. 하지만 현대의 공격은 정상 포트의 정상 프로토콜을 타고 들어옵니다. AppLogic DPI는 봉투가 아니라 본문을 읽습니다. ActiveLogic 데이터 플레인, AppLogic Engine 분류 엔진, 그리고 플로우 기반 AppLenX가 한 몸이 되어, 400GE 인터페이스와 일부 어플라이언스에서 1 Tbps를 넘는 처리량으로 2,500개 이상의 애플리케이션을 식별합니다. TLS와 QUIC으로 감싸진 흐름도 복호화 없이 메타데이터만으로 95% 이상 분류합니다. 국내 주요 은행은 이 엔진으로 분기 보안 사고를 60% 낮췄습니다.

암호화가 문제를 가린다면, 메타데이터가 그 자리를 메꾼다.
참고 · 핵심 명제

II

해부 The Dissection Engine

Five stages · wire rate

원시 패킷 하나가 분류된 애플리케이션 한 줄이 되기까지, AppLogic 엔진은 다섯 단계를 거친다. 모든 단계는 와이어 레이트로 동시에 돌아간다.

Packet in → Stage by stage → Classification outRaw Packet400GE · 1 Tbps+i. L2/3 Parsevlan · ipii. L4 Statetcp · udp · quiciii. L7 Decodehttp2 · tls · grpciv. Signature5,000+ sigsv. Meta Analysistls · quic fieldsClassified· Salesforce· Zoom· Git/SSH· Unknown· SMB v1Throughput per stage — sustained at wire-rate across the pipelineL2/31000 GbpsL4960 GbpsL7880 GbpsSig800 GbpsMeta720 Gbps
Plate IAppLogic DPI · L7 Dissection Pipeline

§ Encrypted Traffic

복호화 없이 식별

TLS · QUIC · SSH 터널의 내용을 복호화하지 않고도 애플리케이션을 식별한다. SSL · QUIC 필드, 인증서 체인, SNI 패턴, 패킷 크기·간격 등 평문 메타데이터를 조합하면 개인정보 보호와 보안 가시성을 동시에 얻을 수 있다.

§ Signature + Flow

인라인 DPI + 오프넷 xDR

ActiveLogic 데이터 플레인이 인라인 트래픽을 AppLogic Engine의 5,000+ 시그니처로 분류하고, AppLenX가 Flow/xDR 기반으로 오프넷 트래픽까지 포괄한다. 표준 DPI 대비 95%+ 정확도.

§ Wire Rate

지연 없는 해부

COTS 기반 어플라이언스는 2RU 폼팩터에서 400GE 인터페이스를 제공한다. 대규모 어플라이언스는 1 Tbps를 초과하는 분류 처리량까지 선형 확장되며, 매일 122개 이상의 앱을 테스트해 연간 52회 업데이트를 배포한다.

III

분류 Protocol Coverage

Six families, 2,500 names

하나의 패킷이 어떤 애플리케이션의 대화인지 판별되는 순간, 그 패킷은 비로소 의미 있는 데이터가 된다.

2,500+ applications · 14 + 11 categoriesAppLogicDPI coreWeb · Cloud600+Messaging150+File · Storage120+Media · Stream220+VPN · Tunnel80+ICS · IoT180+
Plate IIAppLogic · Protocol Taxonomy

  • 웹 · 클라우드

    HTTP/2 · QUIC · gRPC · WebSocket · REST · GraphQL
    600+

  • 메시징 · 소셜

    Slack · Teams · Telegram · KakaoTalk · LINE · Zoom
    150+

  • 파일 · 스토리지

    SMB · FTP · WebDAV · Drive · Dropbox · OneDrive · S3
    120+

  • 미디어 · 스트리밍

    YouTube · Netflix · Twitch · RTMP · HLS · MPEG-DASH
    220+

  • VPN · 암호화 터널

    WireGuard · OpenVPN · IPSec · SSH · Tor · Shadowsocks
    80+

  • 산업 · IoT · SCADA

    Modbus · OPC UA · MQTT · CoAP · DNP3 · BACnet
    180+

· 14개 애플리케이션 카테고리 + 11개 콘텐츠 카테고리 · 자체 시그니처 추가 가능 · 연간 52회 업데이트 릴리스

IV

라인업 Platform Lineup & Field Notes

Three sizes, one engine

규모에 따라 세 가지 플랫폼을 제공한다. 같은 엔진, 다른 몸통.

Hyperscale

iQ52600

2RU 폼팩터

처리량
1 Tbps+
포트
400GE · 100GE

Enterprise

iQ42100 / iQ42300

2RU 폼팩터

처리량
400GE class
포트
100GE · 25GE

Regional

iQ2080 / iQ31040

2RU 폼팩터

처리량
100GE class
포트
25GE · 10GE

§ Field Notes

세 가지 현장

Banking

금융

FDS 연동 이상 거래 탐지 · 내부 DLP · 전자금융감독규정 트래픽 감사. 국내 주요 은행 사례에서 분기 보안 사고 60% 감소.

Telecom

통신 · 5G

가입자 트래픽 전수 분석 · QoS 정책 · 헤비 유저 관리 · CGNAT 환경 분류 · IPTV/영상 최적화. 최대 300만 동시 가입자 처리.

Government

공공 · 국방

국가 정보보안 기본지침 준수 네트워크 감사 · ICS/SCADA 프로토콜 분석 · 암호화 트래픽 가시성 확보 · 조달청 등록.

V

차이 Comparison & FAQ

Why L7, why now

L3/L4만 보는 기존 장비와의 차이를 먼저 정리한 뒤, 자주 받는 질문들을 담았다.

항목
L3/L4 방화벽
AppLogic DPI
검사 범위
L3 / L4 헤더
L2 ─ L7 페이로드
암호화 가시성
복호화 필요
메타데이터 95%+ 식별
앱 식별
포트 번호 기준
2,500+ 앱 · 5,000+ 시그니처
분류 정확도
50 ─ 60%
95% 이상
처리량
10–40 Gbps
400GE · 1 Tbps+ 어플라이언스
업데이트 주기
벤더 의존
연간 52회 릴리스

§ Frequently Asked

자주 묻는 질문

  1. Q.01

    TLS 복호화 없이 정말 식별이 됩니까?

    됩니다. SSL/TLS 및 QUIC 핸드셰이크 필드, 인증서 SAN/CN, SNI, 세션 재개 패턴, 평문 메타데이터(패킷 크기·간격) 등을 조합하면 암호화 트래픽에서도 95% 이상의 애플리케이션을 정확히 분류할 수 있습니다. 개인정보 보호와 보안 가시성을 동시에 확보하는 방법입니다.

  2. Q.02

    기존 방화벽/스위치와 어떻게 연동됩니까?

    SPAN/TAP 포트로 미러링된 트래픽을 수신하거나, 인라인 모드로 L2 bump-in-the-wire 배치가 가능합니다. 분류 결과는 NetFlow v9/IPFIX, Syslog, Kafka, REST API, 그리고 Stellar Cyber XDR 네이티브 커넥터로 내보냅니다.

  3. Q.03

    와이어 레이트가 떨어지지 않습니까?

    ActiveLogic 데이터 플레인은 COTS 하드웨어 위에서 400GE 인터페이스를 선형으로 소화하며, iQ52600급 대규모 어플라이언스는 1 Tbps를 초과하는 분류 처리량을 제공합니다. 시그니처 수가 늘어도 성능은 로그 스케일로 증가하도록 설계되어 있습니다.

  4. Q.04

    iQ 시리즈 중 어떤 모델을 선택해야 합니까?

    기준은 (1) 피크 트래픽 처리량, (2) 동시 가입자/세션 수, (3) 시그니처 수와 커스텀 룰 복잡도입니다. 소규모는 iQ2080/iQ31040, 엔터프라이즈는 iQ42100/iQ42300, 하이퍼스케일은 iQ52600를 권장하며, PoC 기간 중 실제 트래픽으로 측정해서 모델을 함께 결정합니다.

  5. Q.05

    ActiveLogic · AppLogic Engine · AppLenX는 어떻게 다릅니까?

    ActiveLogic은 인라인 데이터 플레인 — 트래픽 가시성, QoS, shaping, enforcement를 담당합니다. AppLogic Engine은 시그니처 기반 애플리케이션 분류 엔진이며, AppLenX는 Flow 및 xDR 데이터로 오프넷 트래픽까지 분류합니다. 세 제품이 결합하여 온넷/오프넷 전 구간을 포괄합니다.

  6. Q.06

    기존 SIEM에 데이터를 보낼 수 있습니까?

    Splunk · ELK · QRadar · Sentinel · Chronicle · Exabeam을 위한 네이티브 포워더가 제공됩니다. 또한 Stellar Cyber XDR에는 기본 커넥터가 내장되어 별도 설정 없이 연동됩니다.

End of Brief

About

AppLogic DPI — 신화에이티시큐에서 작성한 기술 개요. 수치는 2024년 기준이며, 실제 환경에 따라 달라질 수 있습니다.

Spec

등급: GS · KCMVP · 조달청 등록
버전: PacketLogic v24.08
제작: SHATSECU · 2026

Related

도입 문의하기
AppLogic DPI | SHATSECU