AI 기반 로그인 이상 징후 탐지 시스템

이 게시물은 AWS Bedrock을 활용해 크리덴셜 스터핑과 다 계정 어뷰징을 자동으로 분석하는 로그인 보안 관제 자동화 시스템 구축 경험을 다룹니다.

크리덴셜 스터핑 공격 특징

• 유출된 실제 계정 정보를 이용한 무차별 로그인 시도
• 자동화된 봇과 탐지 회피 기법 사용
• 낮은 실패율과 정상 트래픽과 유사한 공격 패턴

기존 모니터링 한계와 LLM 도입 이유

• 기존에는 알림만 제공되어 즉시 정황 파악과 대응 어려움
• LLM을 통해 로그인 이력과 연관 정보의 맥락을 자동 분석
• 단순 규칙 기반 탐지의 한계를 극복

AWS Bedrock 기반 아키텍처 및 운영

• VPC 내 보안 접속과 TLS 암호화 지원
• 배치 서비스로 주기적 로그인 이력 조회 및 비정상 탐지
• Bedrock 분석 결과를 Slack으로 실시간 전달
• Playground와 Prompt Management로 프롬프트 최적화 및 즉시 적용 가능

성과

• 비정상 로그인 정황 즉시 파악 가능
• 대응 시간 단축과 운영 효율성 향상
• 야간 및 휴일에도 실시간 모니터링 가능