폐쇄망 AI 연동 시나리오
고객 상황
고객이 폐쇄망(망분리) 환경에서 운영 중이며, AI 기반 이상 탐지와 자동 진단 기능을 원한다. 그러나 외부 인터넷 연결이 불가능하여 클라우드 AI 서비스(ChatGPT, AWS Bedrock 등)를 사용할 수 없다.
고객 설명 포인트
"고객님, FlowKat은 폐쇄망 환경을 위해 설계되었습니다. AI 기능도 외부 인터넷 연결 없이 고객님 서버 내에서 동작하는 로컬 AI 모델을 사용합니다. 수집된 성능 데이터가 외부로 나가지 않으므로 보안 규정을 완전히 준수합니다."
폐쇄망 환경의 과제
| 과제 | 설명 | FlowKat 해결 방안 |
|---|---|---|
| 인터넷 차단 | 외부 API 호출 불가 | Docker Compose 오프라인 설치, 릴리즈 번들 USB 반입 |
| AI 모델 접근 불가 | 클라우드 AI 서비스 사용 불가 | 로컬 AI 모델 (임베딩 서버 + 벡터 검색) |
| 패키지/라이브러리 설치 | apt, pip, npm 등 사용 불가 | 모든 의존성이 Docker 이미지에 포함 |
| 업데이트 | 자동 업데이트 불가 | 릴리즈 번들 수동 업데이트 (USB/CD) |
FlowKat AI 아키텍처 (폐쇄망)
구현 단계
1단계: FlowKat 기본 설치 (1일)
현장 체크리스트 — 1단계
- 릴리즈 번들을 USB/CD로 폐쇄망 서버에 반입
- Docker 이미지 7개 로드 (
./load-images.sh) - 환경 설정 (
./flowkat-env-setup.sh→aircap환경 선택) - 전체 서비스 기동 및 헬스체크 통과 확인
- 에이전트 설치 및 데이터 수집 확인
표준 FlowKat 설치를 Aircap(폐쇄망) 모드로 진행한다. DEPLOYMENT_ENV=aircap 설정으로 외부 의존성 없는 구성이 자동 적용된다.
2단계: 데이터 수집 및 축적 (1~2주)
- 에이전트가 수집한 트랜잭션 데이터가 PostgreSQL에 축적된다
- XLog 데이터, SQL 프로파일, 에러 스택이 벡터 임베딩 대상이 된다
- 최소 1~2주 분량의 정상 패턴 데이터가 기준선(baseline)으로 사용된다
고객 설명 포인트
"고객님, AI가 정확하게 이상을 탐지하려면 먼저 '정상 상태'를 학습해야 합니다. 약 1~2주간 데이터를 축적하면, 이후부터는 정상 범위를 벗어나는 패턴을 자동으로 감지합니다."
3단계: AI 이상 탐지 활성화
- 로컬 임베딩 서버가 트랜잭션 패턴을 벡터화한다
- pgvector를 활용한 유사도 검색으로 과거 유사 장애 패턴을 매칭한다
- 임계값 기반 알람 + AI 기반 이상 탐지를 병행 운영한다
AI 이상 탐지가 감지하는 패턴
| 탐지 유형 | 설명 | 예시 |
|---|---|---|
| 응답시간 이상 | 평소 대비 응답시간 급증 | "결제 API 응답시간이 평소 200ms에서 5초로 증가" |
| 에러 패턴 변화 | 새로운 유형의 에러 발생 | "어제 없던 NullPointerException이 분당 50건 발생" |
| 트래픽 이상 | 비정상적 트래픽 패턴 | "새벽 3시에 평소의 10배 트래픽 유입" |
| SQL 성능 저하 | 특정 쿼리 실행 시간 증가 | "주문 조회 쿼리가 인덱스 누락으로 풀스캔 전환" |
예상 질문 + 답변
| 고객 질문 | SE 답변 |
|---|---|
| "AI가 외부 서버에 데이터를 보내나요?" | "아닙니다. 로컬 AI 모델이 고객님 서버 내에서 동작합니다. 모든 데이터 처리가 폐쇄망 내부에서 완료되며, 외부 통신은 일체 없습니다." |
| "AI 모델 업데이트는 어떻게 하나요?" | "FlowKat 릴리즈 번들에 AI 모델 업데이트가 포함됩니다. 정기 업데이트 시 USB로 반입하여 적용하시면 됩니다." |
| "GPU가 필요한가요?" | "기본 AI 기능은 CPU만으로 동작합니다. 대규모 환경(에이전트 100대 이상)에서는 GPU 추가 시 분석 속도가 향상됩니다." |
| "오탐(false positive)이 많지 않나요?" | "초기 1~2주 학습 기간에는 오탐이 발생할 수 있습니다. 학습이 진행되면서 정확도가 높아지며, 오탐 알람에 대한 피드백 기능으로 모델을 지속 개선합니다." |
| "기존 임계값 알람과 뭐가 다른가요?" | "임계값 알람은 '응답시간 5초 초과' 같은 고정 조건입니다. AI 이상 탐지는 '평소와 다른 패턴'을 감지하므로, 임계값으로 잡지 못하는 미묘한 성능 저하를 조기에 발견합니다." |
폐쇄망 설치 시 SE 주의사항
현장 주의
- USB 반입 시 고객사 보안 절차(바이러스 검사, 매체 반입 승인)를 반드시 사전 확인한다
- Aircap 환경에서는
NEXTAUTH_URL을 IP 주소 기반으로 설정한다 (도메인 불가) - NTP 서버가 없는 환경에서는 서버 시간 동기화를 수동으로 확인한다
- Docker 이미지 서명 검증이 필요한 환경에서는 사전에 이미지 해시값을 제공한다