BASTION

BESTNET-CLOUD에서 본격 가동 중

BASTION

폐쇄망 대응 AI Ops Platform

로컬 LLM이 인프라를 자동 분석하여 공격 자동 방어부터 대역폭 품질 동적 제어까지 실행.
보안과 품질의 2축 모듈로 클라우드 사업자의 운영 과제에 대응합니다.

무료 상담·문의 →

// CHALLENGE

클라우드 AI가 닿지 않는 영역의
「AI Ops」를, 폐쇄망에서 완결

AWS DevOps Agent나 Azure Security Copilot은 강력하지만, 폐쇄망 환경이나 온프레미스 물리 장비, 그리고 「보안 외의 운영 과제」에는 손이 닿지 않습니다.

🔒

데이터 주권 문제

로그가 클라우드 벤더의 AI 기반으로 전송됨. 금융·관공서·의료의 폐쇄망 환경에서는 사용 불가.

💰

종량제 과금의 불투명성

AWS DevOps Agent는 $0.0083/초의 종량제 과금. 조사 횟수가 늘어날수록 비용이 증가하여 예산 예측 불가.

🔌

운영 과제는 보안만이 아님

공격 탐지뿐만 아니라 대역폭 품질, 리소스 최적화, 비용 관리 등 AI에 맡기고 싶은 운영 과제는 다양함.

// PLATFORM

2개의 모듈이
병렬로 동작하는 플랫폼

BASTION은 단일 기능 제품이 아닌, AI Ops Platform으로서 복수의 모듈을 제공합니다. 각 모듈은 독립된 장애 경계를 가지며, 한쪽의 장애가 다른 쪽으로 파급되지 않습니다.

가동 중

보안 모듈

공격 탐지부터 자동 방어까지. 다층 상관 엔진이 개별 장비의 탐지를 조합하여 공격 캠페인 전체를 가시화. 탐지 후 8초 이내에 복수 시스템 동시 방어 실행.

다층 상관 엔진(FW/VPN/인증/앱/엔드포인트)
협조 공격 그룹 탐지(동일 서브넷·ASN 단위)
캐스케이드 방어(경계 장비+ DMZ Agent 동시 차단)
DMZ·격리 환경용 경량 Agent

가동 중(관찰기)

품질 모듈

대역폭 사용 현황의 상시 관측과 동적 배분 제어. 가상 기반의 네트워크 식별자를 직접 활용한 정확한 집계, 시간대별 상한 판정, 가중치 배분까지 구현. 본격 투입은 단계적으로 진행.

일정 간격의 VM 트래픽 수집
서브넷별·시간대별·상하별 임계값 판정
혼잡 발동 시 동적 rate 제어(가중치 배분)
드라이런 모드로 관찰→단계 투입

향후 구상

운영 자동화·비용 최적화

플랫폼 확장을 통해 운영 부하 자동 경감, 비용 최적화, 고객 관리 연계 등을 순차적으로 추가 예정.

클라이언트 포털 연계(티켓 자동 발행)
Management Console 통합 가시화
리소스 최적화 제안

// ARCHITECTURE

심플한 구성, 강력한 자동화

모두 오픈소스로 구성. 고객 네트워크 내에서 완결되며, 로그 데이터는 일체 외부로 전송되지 않습니다.

로컬 LLM(Qwen2.5-14B), rsyslog, 셸 스크립트, SQLite. 인터넷 연결 불필요.

// LIVE EVIDENCE

자사 인프라에서, 실제로 가동 중

BASTION은 BESTNET-CLOUD의 본격 환경에서 24시간 가동 중. 보안 모듈은 10대 장비를 방어 대상으로, 품질 모듈은 76개 VM을 관찰하고 있습니다.

보안 방어 대상 장비

FW/VPN/인증/앱/Agent형 DMZ

캐스케이드 방어 동시 차단

공격 탐지 후 8초 내 전체 장비 전파

품질 모듈 관찰 대상 VM

일정 간격·99.86% 수집 성공률

외부 데이터 전송

모든 처리가 고객 네트워크 내에서 완결

캐스케이드 방어 자동 발동 SECURITY

공격 캠페인 감지→경계 방화벽 + 클라이언트 포털 기반 + 로드밸런서 + DMZ Agent군으로 8초 이내 동시 블록 발행. 각 기기의 OS 방화벽에서 물리적으로 차단.

일일 자동 리포트 OPS

Slack으로 중요도별 자동 배포. CRITICAL 외에는 노이즈 억제. 상세 분석은 멘션으로 온디맨드 호출.

// SAFETY DESIGN

「AI에만 맡기지 않는」
운영 안전 설계

프로덕션 환경의 인프라에 자동 제어를 도입하는 이상, AI의 판단 실수나 예상치 못한 상황에 대한 대처는 필수입니다. BASTION은 「인간의 판단과 AI의 실행」을 명확히 구분한 단계적 설계를 채택하고 있습니다.

단계 A — AI에 의한 현황 파악

AI는 읽기 전용으로 현황을 조사·리포트. 판단이나 평가는 출력하지 않음. 프로덕션에 대한 영향 제로.

단계 B — 운영자에 의한 판단

분류·임계값 설정·프로덕션 모드 전환 등의 판단은 모두 운영자가 수행. AI에게 맡기지 않음.

단계 C — AI에 의한 실행

운영자의 판단에 기반하여 AI가 정확히 실행. 프로덕션 쓰기는 「드라이런 → 제한 프로덕션 → 전체 프로덕션」의 3단계. 긴급 정지 명령 상시 구비.

AI 협업의 기본 원칙

VM 분류, 네트워크 구성, 데이터 구조의 세부 사항, 조직 고유의 사정. 이러한 것들은 운영자만이 알 수 있는 사실 영역입니다. BASTION은 AI가 「추측하지 않고, 확인을 요구하도록」 설계되었습니다. 실제 운영에서 얻은 10건 이상의 교훈을 「설계 원칙」으로 체계화하여, 모든 신규 구현에 반영하고 있습니다.

// DIFFERENTIATION

기존 솔루션과의 차이점

	클라우드 AI 모니터링 (AWS/Azure)	기존 SIEM/SOAR	BASTION
데이터 주권	외부 전송	제품 의존	완전 폐쇄망
과금 체계	종량제	라이선스	범위 견적
공격 캠페인 감지	○	고정 룰	수학적 판정 + 협조 공격 그룹화
DMZ·격리 환경 대응	×	제한적	전용 Agent + 검증 엔진
대역폭 품질의 동적 제어	×	×	○ (품질 모듈)
프로덕션 투입 안전성	벤더 의존	고정 동작	3단계 모드 + 긴급 정지
기기 추가	API 연동 필요	커스텀 대응	syslog 연결만

「수학적 판정」은 珍田秀幸(대표)의 독립 연구(IHD/Stigmergic/PRSA)를 기반으로 하는 독자 모델에 기반합니다. 상세 내용은 특허 출원 준비 중으로 비공개이나, 개념 수준은 기술 블로그에서 단계적으로 공개하고 있습니다.

// CAPABILITIES

보안 + 품질, 2축의 기능 전개

🛡 보안 모듈

다층 상관 캠페인 탐지 — 5개 계층의 로그를 교차 분석. 개별 장비에서는 보이지 않는 공격 시나리오를 가시화
협조 공격 그룹 탐지 — 동일 서브넷·ASN 단위의 조직적 공격을 일괄 파악
캐스케이드 방어 — 1건 탐지로 여러 장비에 동시 전파. 경계 장비+DMZ Agent 동시 차단
OS 통합 차단 방식 — firewalld/ufw/iptables로 통합. 고객 환경의 미들웨어에 의존하지 않음
DMZ 전용 Agent — WebSocket 통신. Agent 측은 최소 권한·검증 엔진에 의한 이중 방어
장비 자동 분류 — syslog를 향하기만 하면 모니터링 시작. 등록 작업 제로
화이트리스트 보호 — 자사 IP·거래처 IP의 오차단을 물리적으로 방지
24시간 자동 해제 — 일시적 오탐지라도 차단이 영구화되지 않는 설계

📊 품질 모듈

가상 기반 식별자 기반의 정확한 집계 — VM 식별을 가상 기반의 네트워크 식별자에서 직접 취득하여 오판정 배제
서브넷별·시간대별·상하별 판정 — 회선 특성에 따른 개별 임계값 설계
동적 rate 제어 — 폭주 발동 시 가중치 배분으로 VM 개별 제어
가중치 제어 — 운영자의 재량으로 VM 단위 우선순위 조정 가능
드라이런 기본값 — 판정만 동작하여 관찰, 본번 모드 전환은 운영자 판단
단계적 본번 투입 — 1개 서브넷 한정 → 전체 서브넷의 신중한 전개
긴급 정지 명령 — 모든 제어의 즉시 해제를 처음부터 구현
자동 해제 — 폭주 해소가 15분 지속되면 자동으로 제어 해제

// EXTENSIBILITY

하네스 구축을 통한
하이브리드 LLM 연계(실험 단계)

로컬 LLM(Qwen2.5-14B)을 기반으로 하면서도, Claude나 GPT 등 외부 고성능 LLM API와의 연계 기능을 실험 단계에서 구축 중입니다. 용도에 따라 적절한 LLM을 구분하여 사용하는 하네스를 통해, 정형 업무의 자동화나 예상 외 문제에 대한 대응에도 대응할 수 있는 틀입니다.

🔄

정형 업무의 자동화

정기 레포트, 재고 조사, 운영 기록 정리 등 외부 LLM이 득의한 정형 처리를 자동화. 판단 작업은 사람에게 맡기면서 작성이나 구조화를 맡기는 용도.

🧠

문제 발생 시 고도 추론

통상 운영에서는 나오지 않는 복잡한 문제나 예상 외의 장애 시나리오 등, 로컬 LLM으로는 어려운 상황에서 외부 LLM의 추론력을 빌리는 용도.

⚙️

하네스에 의한 전환 제어

어떤 LLM을 어떤 상황에서 사용할지를 제어하는 하네스. 비용·데이터 주권·추론 성능의 균형을 고객 환경마다 설계 가능.

주의: 외부 LLM 연계는 실험 단계입니다. 본번 운영에 대한 조합은 데이터 주권 요건과 함께 고객별로 설계합니다. 폐쇄망 요건이 엄격한 경우, 로컬 LLM만으로 완결되는 구성도 종래와 같이 제공합니다.

// TECH BLOG

기술의 세부 사항을 공개하고 있습니다

“제대로 운영할 수 있는가”가 최대의 차별화라 생각하며, 개념 수준의 설계 판단이나 운영 노하우는 적극 공개하고 있습니다. 구체적인 고객 IP나 조직 정보, 특허 관련 수식은 비공개입니다.

테크 블로그 NEW

먼저 상담해 주세요

대상 장비 및 요구사항 청취 후, 범위에 맞는 제안을 드립니다.
보안 모듈 단독 도입도, 두 모듈 모두 도입도 가능합니다.

무료 상담·문의 →

구축 비용은 범위에 따른 개별 견적 ／ 월간 유지보수는 선택 옵션 ／ 모든 컴포넌트 OSS / 로그 데이터는 외부 전송되지 않음

// CHANGELOG

개정 이력

날짜	버전	변경 내용
2026-04-16	v1.0	초판 공개. 아키텍처 다이어그램, Slack 실화면 5장, 경쟁 비교표, 기능 목록.
2026-04-17	v1.1	Evidence 섹션에 횡단 분석(OPNsense×AD) 스크린샷 추가. HP 동선 설치.
2026-04-21	v2.0	자동 장비 분류·엔드포인트 모니터링을 기능 목록에 추가. 기술 블로그 4편 링크 섹션 추가.
2026-04-23	v2.1	반응형 방어(공격원 IP 자동 차단·풀오토 가동 중) 추가.
2026-04-24	v2.2	다층 상관 캠페인 탐지 추가. 기술 블로그 8편으로 업데이트.
2026-05-10	v2.3	BASTION을 AI Ops Platform으로 재정의. 보안 모듈+품질 모듈 2축 구조로 변경. 협조 공격 그룹 탐지, 캐스케이드 방어, DMZ Agent, AI 협업 안전 설계(단계 A/B/C·드라이런 기본)를 반영. 프로덕션 방어 대상 10장비, 품질 모듈 관찰 대상 76 VM 수치 반영. 하네스 구축에 의한 하이브리드 LLM 연계(실험 단계) 섹션 추가.
2026-05-14	v2.4	기술 블로그 기사 3편(다층 상관 캠페인 탐지 / DMZ Agent와 검증 엔진 / 로컬 LLM으로 인프라 로그를 자동 분석하는 구조) 공개 및 LP 내 관련 링크를 실제 URL로 업데이트. NEW / Coming soon 배지 추가.