Project Diary/Cloudtrail-guard

[Cloudtrail-guard] 00. 프로젝트를 시작하게 된 이유

seobangwool 2026. 6. 9. 13:45

이 프로젝트를 시작하게 된 이유

kisia에서 운영하는 클라우드 보안 수업을 수강하다가, 
클라우드 서비스가 API 중심 아키텍처로 동작한다는 점에 관심을 갖게 되었다. 특히 AWS 환경에서는 사용자의 대부분의 행위가 API 호출 형태로 기록되므로, 이러한 API들을 하나의 흐름으로 분석할 수 있다면 비정상 접근이나 위험 행위 등을 탐지할 수 있지 않을까? 라는 궁금증이 생겼다.

총 3인으로 진행하는 프로젝트이고, 현재 한 달간 진행이 되었다. 
아직 프로젝트 초기이지만, 데이터 수집과 탐지 기준 설정 등 여러 시행착오를 겪고 있다. 지금까지 마주한 문제점과 기술 선정 이유와 같이 프로젝트 진행에 있었던 고민의 흔적을 남겨두면 추후 보완할 때 도움이 될 것 같아서 작성하게 되었다. 

간단하게 프로젝트에 대해 설명하고, 다음 글부터 흔적을 남길 수 있도록 해야겠다. 

 

프로젝트 소개

CloudTrail Guard는 AWS CloudTrail 로그를 분석하여, 사용자의 API 호출 흐름에서 이상 행위와 공격 가능성을 탐지하는 클라우드 보안 프로젝트이다.

AWS 환경에서는 콘솔 조작을 포함하여 대부분의 행위가 API 호출 형태로 기록된다. 이 프로젝트는 이러한 API 호출을 단일 로그로만 판단하지 않고, 여러 로그를 하나의 시퀀스로 묶어서 위험 행위를 탐지할 수 있는 AI를 만드는 것을 1차 목표로 한다. 이후에는 생성한 AI와 기존 LLM 모델과 성능을 비교해보고, 로그 수집부터 시퀀스 생성, 위험도 분류, 대시보드 시각화까지 이어지는 전체 파이프라인에 병합하는 것을 목표로 한다.

 

깃허브 링크

https://github.com/CloudTrail-lab/cloudtrail-guard