성좌 목록으로GitHub

Shield Radar

AEGIS cloud-ev-security

AWS 기반 EV 충전 인프라 사이버 위협 탐지 및 자동 대응 시스템.

2026.03부분 실행 가능
선택한 별GuardDuty보안

상세 설명

GuardDuty 자체는 클라우드 계정/권한 이상 징후를 탐지하고, IoT Rule은 MQTT 토픽에서 충전기 이상 이벤트를 탐지한다. AEGIS에서는 두 출처의 이벤트를 Lambda에서 동일한 MITRE 코드 체계로 변환해 이후 대응 로직이 같은 인터페이스로 동작하게 만들었다.

주요 코드

GuardDuty Finding → MITRE 매핑lambda/handler.py
핵심 부분
GUARDDUTY_TO_MITRE
역할
GuardDuty detail.type을 T1078/T1548 계열 공격 코드 후보로 변환한다.
코드 요약
클라우드 계정 탈취, 권한 상승, 노출 자격 증명 같은 Finding을 대응 가능한 MITRE 코드로 묶어 Lambda 대응 분기와 대시보드 표기가 같은 기준을 쓰게 한다.
설명 포인트
단순히 GuardDuty를 켠 것이 아니라, 탐지 결과를 서비스 내부 이벤트 모델로 바꾸는 매핑 계층을 만들었다는 점을 설명할 수 있다.
탐지 유형 결정lambda/handler.py
핵심 부분
detect_attack_type(event, detail)
역할
IoT Rule이 넣은 detected_attack_type을 우선 읽고, 없으면 GuardDuty Finding을 매핑한다.
코드 요약
IoT 기반 공격과 클라우드 계정 기반 공격을 한 함수에서 표준 공격 유형으로 결정한다.
설명 포인트
서로 다른 이벤트 소스를 하나의 대응 파이프라인으로 합친 설계 포인트다.
GuardDuty 활성화 IaCterraform/modules/guardduty/main.tf
핵심 부분
aws_guardduty_detector.aegis
역할
GuardDuty detector를 Terraform으로 활성화한다.
코드 요약
탐지 서비스를 콘솔 수동 설정이 아니라 재현 가능한 인프라 코드로 관리한다.
설명 포인트
보안 탐지 구성도 배포 가능한 코드로 관리했다는 인프라 역량을 보여준다.

Project Common

프로젝트 공통 정보

프로젝트 개요

EV 충전기 IoT 환경에서 발생 가능한 공격 이벤트를 탐지하고 Lambda 기반 자동 대응으로 확산을 줄이는 것을 목표로 했다.

MITRE ATT&CK 기반 시나리오 구현, Lambda 대응 로직, IAM/GuardDuty/EventBridge 연계, 문서 최신화에 참여.

기술 스택

AWS IoT CoreGuardDutyEventBridgeLambdaIAMCloudWatchCloudTrailTerraformPythonMQTTSlack Webhook

핵심 기능

  • GuardDuty Finding을 EventBridge로 받아 Lambda 자동 대응 실행
  • T0855/T0839/T1499/T1078/T1548/T1565 등 6종 공격 대응 매핑
  • EV 충전기 MQTT 시뮬레이터와 CloudWatch 대시보드 구성

보안/백엔드 포인트

  • MITRE ATT&CK 기반 탐지/대응 모델링
  • IAM 정책 회수, IoT 인증서 revoke, IoT 정책 격리 등 자동 대응
  • Terraform 모듈 기반 클라우드 보안 인프라 구성
  • CloudTrail/CloudWatch 기반 증거 보존과 운영 가시성 확보

케이스 요약

AEGIS cloud-ev-security

문제/목표

EV 충전 인프라에서 발생할 수 있는 IoT/클라우드 위협을 MITRE ATT&CK 기준으로 탐지하고, AWS 이벤트 파이프라인을 통해 자동 대응과 운영 가시성을 제공하는 것이 목표였다.

내 역할

PM으로 일정과 산출물을 조율하면서 아키텍처 설계, Terraform 인프라 구성, MITRE ATT&CK 대응 코드 설계, 대시보드 구현에 참여했다.

구현 포인트

  • AWS IoT Core, GuardDuty, EventBridge, Lambda를 연결해 탐지 이벤트가 대응 함수로 이어지는 구조 설계
  • T0855, T0839, T1499, T1078, T1548, T1565 기반 공격 유형을 탐지/대응 시나리오로 매핑
  • DynamoDB, CloudWatch, CloudTrail을 활용해 이벤트 이력, 대응 결과, 감사 추적 가능성을 확보
  • Terraform 모듈로 IoT, Lambda, EventBridge, GuardDuty, Monitoring 인프라를 재현 가능하게 구성

시연 영상

AWS CloudWatch 대시보드 · Lambda 실행 결과 · 아키텍처 다이어그램