DPI / AI / Open XDRStellar Cyber

열두 개의 화면을
한 장으로— on Stellar Cyber, the Open XDR platform that stitches 400+ security and IT products into a single narrative.

Stellar Cyber는 기존 보안 투자를 대체하지 않고 연결합니다. Firewall · EDR · SIEM · Cloud · Email · Identity — 벤더에 관계없이 400개 이상의 보안·IT 제품 데이터를 Interflow Unified Data Lake로 정규화합니다. Detection AI · Correlation AI · LLM Investigation Assistant · Agentic AI Playbooks가 층층이 공격 체인을 복원하며, 정부 기관 도입 결과 평균 사고 대응 시간(MTTR)은 72시간에서 8시간으로 단축되었습니다.

§ The Brief

Section I · p. 02

보안팀의 책상 위에는 열두 개의 모니터가 있습니다. 각각 다른 벤더, 다른 화면, 다른 경보음. Stellar Cyber는 이 풍경을 하나의 작업대로 재편합니다. 400개가 넘는 보안·IT 제품을 연결해 모든 이벤트를 Interflow 데이터 모델로 정규화하고, Multi-Layer AI — Detection AI · Correlation AI · LLM Investigation Assistant · Agentic AI Playbooks — 가 층층이 공격 체인을 복원합니다. 자동 플레이북이 초기 대응을 끝내면, 분석가는 이미 좁혀진 몇 건의 인시던트만 검토합니다. 정부 기관 도입 결과, 평균 사고 대응 시간(MTTR)은 72시간에서 8시간으로 단축되었습니다.

문제는 경보가 없었던 것이 아니다 — 너무 많았다는 것이다.
참고 · 핵심 명제

II

구조 Multi-Layer AI Architecture

Four layers, one console

Stellar의 판단은 네 개의 층을 거친다. 아래 층의 출력이 위 층의 입력이 되며, 가장 위 층에서 인시던트가 완성된다.

Four layers of reasoning — stackediv. Agentic AI Playbooksautonomous · human-augmentediii. LLM Investigation Assistantinvestigation · triageii. Correlation AI (GraphML)kill-chain · MITRE ATT&CKi. Detection AIanomaly · ML · prediction— detection rises through correlation, investigation, and agentic response.
Plate IStellar Cyber · Multi-Layer AI Stack
  1. i.

    Detection AI

    Interflow로 정규화된 400+ 소스의 이벤트 위에서 이상 탐지, 머신러닝 모델, 예측 분석을 병렬로 돌린다. 시그니처 기반 탐지 대비 40 ─ 70%의 오탐 감소. 벤더 중립적 데이터 모델 덕분에 모든 소스에 동일한 추론이 적용된다.

  2. ii.

    Correlation AI (GraphML)

    개별 경보를 그래프 머신러닝으로 묶어 공격 체인을 복원한다. 시간 · 엔티티 · 의도 축에서 관련 이벤트가 자동 연결되며, MITRE ATT&CK 프레임워크에 매핑되어 어느 단계에서 공격이 진행 중인지 시각화된다.

  3. iii.

    LLM Investigation Assistant

    대형 언어 모델이 인시던트 조사를 자동화한다. 관련 로그 요약, 엔티티 관계 추론, 가설 생성, 다음 단계 추천까지. 분석가는 수동 검색 대신 이미 정리된 조사 결과를 검토한다.

  4. iv.

    Agentic AI Playbooks

    빌트인 및 커스텀 플레이북이 반복 작업을 자율적으로 수행한다. 격리 · 차단 · 알림 · 티켓 생성. Human-Augmented 원칙에 따라 최종 판단은 분석가에게 남기되, 준비 작업은 모두 기계가 끝낸다.

III

수집 Data Sources & Correlation

400+ products, one Interflow

Stellar은 데이터를 대체하지 않고, 있는 것을 연결한다. 400개 이상의 보안·IT 제품과 기존 투자를 유지하면서 위에 한 층을 얹는다는 뜻이다.

네트워크

  • ·Firewall / NGFW
  • ·IDS / IPS / NDR
  • ·NetFlow · sFlow
  • ·DNS / Proxy / WAF
  • ·Packet Capture

엔드포인트

  • ·CrowdStrike Falcon
  • ·SentinelOne
  • ·Microsoft Defender
  • ·ESET
  • ·Windows Event Log
  • ·Sysmon

클라우드

  • ·AWS CloudTrail
  • ·Azure Monitor
  • ·GCP Audit
  • ·O365 / Exchange
  • ·Okta / Duo
  • ·OCI Audit
  • ·SaaS API

보안 도구

  • ·SIEM 연동
  • ·Vulnerability Scanner
  • ·Threat Intel Feed
  • ·Email Gateway
  • ·DLP
  • ·IAM / PAM

— 상기 목록은 주요 커넥터의 일부이며, STIX/TAXII 표준 및 커스텀 REST 커넥터 개발을 지원합니다.

§ Kill-Chain Correlation

흩어진 경보를 하나의 서사로

아래는 실제 운영 환경에서 20개의 개별 경보가 하나의 인시던트로 통합되는 과정이다. 분석가는 20번이 아니라 1번만 본다.

Scattered alerts coalesce into an attack narrative1. Recon2. Initial Access3. Execution4. Persistence5. Lateral Move6. Collection7. Exfiltrationincident #8142 · APT-like lateral campaign — auto-stitched from 7 sibling alerts20 raw events → 1 incident narrative · analyst reviews once
Plate IIStellar · MITRE Kill Chain Mapping

IV

대응 Agentic AI Playbooks

Human-Augmented Autonomous Response

대응은 사람이 아니라 에이전트가 시작한다. 사람이 뒤늦게 도착해도, 초기 대응은 이미 끝나 있다.

playbook · 01

자동 격리

랜섬웨어 의심 호스트를 EDR API를 통해 네트워크에서 격리. 3분 이내.

playbook · 02

IOC 확산 방지

위협 인텔이 새 IOC를 보고하면, 방화벽/EDR/프록시에 동시에 배포. 수동 개입 없음.

playbook · 03

계정 잠금

비정상 로그인 패턴 감지 시 Okta/AD/AAD 세션을 동시에 무효화하고 MFA 재인증 요구.

playbook · 04

메일 회수

피싱 판정된 메일을 O365/Gmail에서 자동 회수. 수신자 목록 기반 알림 발송.

playbook · 05

티켓 생성

ServiceNow/Jira 티켓을 자동 생성하고, SOC 티어별로 할당. SLA 타이머 자동 시작.

playbook · 06

증거 보존

인시던트 관련 로그/패킷/엔드포인트 메모리를 스냅샷으로 수집. 법적 대응 준비.

— 위는 빌트인 플레이북의 일부이며, 조직별 커스텀 플레이북도 자유롭게 추가할 수 있습니다.

V

현장 Field Stories · Comparison · FAQ

Three sectors

세 산업의 도입 결과, 기존 SIEM과의 차이, 그리고 현장에서 자주 묻는 질문들.

Government

공공·국방

대량 경보 속에서 실제 위협을 자동 식별. Oracle Government Cloud 배포 지원. 국가 사이버안보 기본법 준수. 정부 SOC에서 MTTR 72→8h 달성.

결과

72→8h

MTTR

Finance

금융

규제 컴플라이언스 충족. 감사 추적과 리포팅 자동화. 이상 거래 탐지(FDS) 연동. 전자금융감독규정 준수.

결과

40 ─ 70%

오탐 감소

Managed Services

MSSP

멀티테넌트 아키텍처로 다수 고객을 단일 플랫폼 관리. 효율적인 MDR 서비스 운영. 고객별 대시보드/리포트 자동 생성.

결과

400+

통합 제품

§ Comparison

기존 SIEM과의 차이

항목
전통 SIEM
Stellar Open XDR
데이터 소스
단일 벤더 중심
400+ 이종 제품
정규화
수동 매핑
Interflow Unified Data Lake
탐지 방식
룰 기반 단일
Detection + Correlation AI
조사
분석가가 수작업
LLM Investigation Assistant
대응
수동 티켓
Agentic AI Playbooks
기능 번들
개별 라이선스
XDR · SIEM · NDR · UEBA · ITDR · CDR 단일 라이선스

§ Frequently Asked

자주 묻는 질문

  1. Q.01

    기존 SIEM을 교체해야 합니까?

    아닙니다. Stellar Cyber는 기존 SIEM을 데이터 소스 중 하나로 수용합니다. 교체가 아닌 통합입니다. 시간이 지나 기존 SIEM 라이선스 비용을 재검토할 때, 자연스럽게 Stellar로 수렴하는 경로도 가능합니다.

  2. Q.02

    400개가 넘는 커넥터는 실제로 관리 가능합니까?

    네. 기본 커넥터는 Stellar가 원격으로 업데이트 및 유지보수합니다. 고객이 별도 관리할 것은 자격 증명과 접근 정책뿐입니다. 커스텀 커넥터는 별도 개발 프레임워크가 제공됩니다.

  3. Q.03

    온프레미스 vs 클라우드 — 어떤 배포가 맞습니까?

    공공/국방의 경우 온프레미스 또는 Oracle Government Cloud, 민간 기업은 AWS/Azure/GCP 또는 하이브리드를 권장합니다. 모든 모드가 동일 기능을 제공하며, 추후 모드 전환도 지원됩니다.

  4. Q.04

    AI의 오탐 가능성은?

    Multi-Layer AI는 Detection AI와 Correlation AI를 결합하여 단일 기법의 오탐 위험을 분산합니다. 개별 경보가 공격 체인으로 묶이지 않으면 자동으로 낮은 우선순위로 분류되며, 시그니처 기반 단일 탐지 대비 40 ─ 70% 수준의 오탐 감소가 확인되었습니다.

  5. Q.05

    Agentic AI 플레이북이 잘못 실행되면 어떻게 됩니까?

    각 플레이북은 실행 전 검증 단계(dry-run)와 승인 단계(manual approval)를 설정할 수 있습니다. 중요 대응은 분석가 승인을 거치도록, 루틴 대응은 완전 자동으로. Human-Augmented 원칙입니다.

  6. Q.06

    Open XDR, AI SIEM, NDR, UEBA, ITDR, CDR가 각각 별도 라이선스입니까?

    아닙니다. Stellar Cyber는 Open XDR · AI SIEM · NDR · UEBA · ITDR(Identity Threat Detection & Response) · CDR(Cloud Detection & Response)을 모두 단일 라이선스로 제공합니다. 기능 추가에 따른 별도 구매가 필요 없습니다.

  7. Q.07

    AI-Sensor · AppLogic DPI와는 어떻게 연동됩니까?

    세 제품은 API 통신으로 유기적으로 연동됩니다. AI-Sensor의 탐지 이벤트와 AppLogic의 L7 분류 결과가 API를 통해 Stellar Cyber로 전달되고, Stellar Cyber의 대응 명령이 다시 API를 통해 각 제품으로 내려가는 양방향 구조입니다.

End of Brief

About

Stellar Cyber Open XDR — 신화에이티시큐에서 작성한 기술 개요. 수치는 2024년 기준이며, 실제 환경에 따라 달라질 수 있습니다.

Spec

등급: Gartner Peer Insights · Customers' Choice
버전: Platform 5.x
제작: SHATSECU · 2026

Related

도입 문의하기
Stellar Cyber — Open XDR | SHATSECU