플랫폼 아키텍처
KYRA AI MDR은 엔터프라이즈급 보안 운영을 위해 설계된 다계층 아키텍처를 사용합니다. 각 계층은 고유 기능에 맞게 구축되어 높은 처리량, 안전한 멀티 테넌트 격리 및 지능형 위협 분석을 보장합니다.
아키텍처 개요
flowchart TB
CUST["CUSTOMER NETWORKS\nCollector Agent -- secure outbound --> Ingestion Gateway"]
L1["LAYER 1: INGESTION & ROUTING\nSecure API Gateway → Tenant Router → Event Stream Processing"]
L2["LAYER 2: CORE SIEM ENGINE\nDetection rules, correlation engine, real-time search, timeline"]
L3["LAYER 3: AI AGENT PROCESSING\nLLM Router → 3 Core AI Agents\nTriage → Investigation → Attribution"]
L4["LAYER 4: DATA LAYER\nTenant-isolated storage + analytics + encrypted raw event archive"]
L5["LAYER 5: MANAGEMENT CONSOLE\nTenant-isolated dashboard + real-time alerts + PDF/CSV reports"]
CUST --> L1 --> L2 --> L3 --> L4 --> L5
Layer 1: 수집 및 라우팅
수집 계층은 고객 네트워크 및 클라우드 환경에 배포된 수집기 에이전트로부터 보안 이벤트를 수신합니다.
주요 기능:
- 온프레미스 및 클라우드 수집기로부터의 안전한 암호화 이벤트 전송
- 자동 테넌트 식별 및 라우팅
- 테넌트별 속도 제한 및 할당량 적용
- 스키마 검증 및 이벤트 정규화
- 로그, EDR 및 네트워크 트래픽 데이터 소스 지원
티어별 처리량: FREE: 50 EPS | MDR: 500 EPS | PRO: 2,000 EPS | CUSTOM: 무제한.
Layer 2: 핵심 SIEM 엔진
내장 SIEM 엔진은 외부 SIEM 통합 없이도 탐지, 상관 분석 및 검색 기능을 제공합니다.
주요 기능:
- 수백 개의 사전 구축된 룰을 갖춘 탐지 규칙 라이브러리
- 여러 데이터 소스에 걸친 실시간 이벤트 상관 분석
- 설정 가능한 날짜 범위의 전문 타임라인 검색
- 모든 탐지에 대한 MITRE ATT&CK 기법 매핑
- 커스텀 탐지 규칙 빌더 (PRO 및 CUSTOM 티어)
테넌트 격리: 모든 쿼리와 탐지는 인증된 테넌트 범위로 제한됩니다. 교차 테넌트 데이터 접근은 불가능합니다.
Layer 3: AI 에이전트 처리
3개의 핵심 AI 에이전트가 자동화된 위협 분석, 조사 및 보고 기능을 제공합니다. 프레임워크는 확장 가능하게 설계되어 플랫폼이 발전함에 따라 추가 전문 에이전트를 추가할 수 있습니다.
핵심 에이전트
| 에이전트 | 기능 |
|---|---|
| Alert Triage | 99% 오탐 필터링을 갖춘 AI 기반 알림 분류. 심각도와 비즈니스 영향도에 따라 알림을 자동으로 우선순위 지정. |
| Incident Investigation | 여러 로그 소스에 걸친 관련 이벤트 자동 상관 분석. 인시던트 타임라인을 구축하고 근본 원인을 식별. |
| Content Generation | 보안 데이터로부터 경영진 보고서, 인시던트 요약 및 컴플라이언스 문서를 생성. |
확장 가능한 프레임워크
AI 에이전트 아키텍처는 LangChain4j 기반으로 구축되었으며, 위협 헌팅, 포렌식 분석, 컴플라이언스 감사 등을 위한 전문 에이전트 추가를 지원합니다. 플랫폼은 복잡도에 따라 분석 작업을 적절한 AI 모델 티어로 라우팅합니다 — 경량 모델은 대량 분류를 처리하고, 고급 모델은 복잡한 조사에 사용됩니다.
현재 상태: 3개의 핵심 에이전트가 운영 중입니다. 프레임워크는 탐지 기능 확장에 따라 추가 에이전트를 지원합니다.
Layer 4: 데이터 계층
데이터 계층은 티어별 보존 정책을 갖춘 안전한 테넌트 격리 스토리지를 제공합니다.
| 스토리지 유형 | 용도 | 보존 기간 |
|---|---|---|
| Hot Storage | 활성 알림, 최근 이벤트, 실시간 검색 | 7-30일 |
| Warm Storage | 이력 분석, 컴플라이언스 보고 | 최대 2년 |
| Cold Archive | 장기 컴플라이언스 보존 | 최대 7년 |
모든 데이터는 고객 관리 암호화 키로 저장 시 암호화됩니다. 데이터 상주 옵션은 지역 컴플라이언스 요구 사항을 지원합니다.
Layer 5: 관리 콘솔
웹 기반 관리 콘솔은 보안 운영을 위한 통합 인터페이스를 제공합니다.
주요 기능:
- 심각도 기반 우선순위 지정이 가능한 실시간 알림 대시보드
- 작업 추적 및 협업 기능을 갖춘 인시던트 수명주기 관리
- 위험 점수 및 취약점 추적이 가능한 자산 인벤토리
- 자동화된 증거 수집을 갖춘 컴플라이언스 현황 대시보드
- 경영진 및 컴플라이언스 보고서 생성 (PDF/CSV)
- WebSocket 푸시 알림을 통한 실시간 알림
멀티 테넌트 격리
플랫폼의 모든 측면에서 엄격한 테넌트 격리가 적용됩니다:
- 데이터 격리: 행 수준 적용을 통한 테넌트별 데이터 파티션
- 인증: 테넌트 범위 클레임을 포함한 JWT 기반 인증
- 권한 부여: 역할 기반 접근 제어 (Admin, Analyst, Viewer)
- 네트워크: 상호 인증을 통한 암호화된 통신
- 스토리지: 고객 관리 키를 사용한 테넌트별 암호화
- 검색: 모든 쿼리가 인증된 테넌트 범위로 자동 제한
위협 인텔리전스 통합
플랫폼은 주요 위협 인텔리전스 피드와 통합됩니다:
| 피드 | 기능 |
|---|---|
| VirusTotal | 악성코드 해시 및 URL 분석 |
| Shodan | 인터넷 노출 자산 탐색 |
| MISP | 커뮤니티 IOC 공유 |
| Recorded Future | APT 인텔리전스 및 캠페인 추적 |
| NVD / ExploitDB | CVE 데이터 및 익스플로잇 정보 |
| Abuse.ch | 봇넷 및 랜섬웨어 C2 추적 |
이벤트 처리 흐름
- 수집 — 수집기 에이전트가 고객 네트워크 및 클라우드 환경에서 보안 이벤트를 수집
- 수신 — 이벤트를 검증, 정규화하고 적절한 테넌트 파이프라인으로 라우팅
- 탐지 — SIEM 엔진이 탐지 규칙 및 상관 분석 로직을 적용
- AI 분석 — 전문 에이전트가 컨텍스트, 보강 및 우선순위 지정을 위해 알림을 분석
- 대응 — 자동화된 플레이북이 격리 및 대응 조치를 실행
- 보고 — 결과가 관리 콘솔 및 보고서에 표시
데이터 보존 티어
| 티어 | 로그 보존 기간 |
|---|---|
| FREE | 7일 |
| MDR | 90일 |
| PRO | 180일 |
| CUSTOM | 365일 이상 |