AWS Aurora와 Vercel을 사용하여 72시간 만에 구축한 AI 기반 NDR, ThreatLedger 제작기
요약
해커톤을 통해 72시간 만에 구축한 AI 기반 NDR 솔루션 ThreatLedger 제작기를 소개합니다. AWS Aurora와 Vercel, ChatGPT API를 활용하여 보안 로그를 위협 인텔리전스로 변환하는 클라우드 네이티브 대시보드 구현 과정을 다룹니다.
핵심 포인트
- AWS Aurora PostgreSQL의 pgvector를 활용한 시맨틱 검색 구현
- Vercel 서버리스 환경에서 Prisma와 Aurora 커넥션 풀링 설정 노하우
- 보안 로그를 분석하여 Claude API로 위협 요약을 생성하는 워크플로우
- Next.js, Prisma, Clerk 등을 활용한 빠른 프로토타이핑 과정
이 포스트는 H0: Hack the Zero Stack Hackathon 참가를 목적으로 작성되었습니다. #H0Hackathon
문제점
중소기업은 대기업과 동일한 네트워크 위협에 직면해 있지만, 연간 10만 달러에 달하는 NDR (Network Detection and Response) 도구를 감당할 여력이 없습니다. 우리는 이를 변화시키기 위해 ThreatLedger를 구축했습니다.
우리가 만든 것
ThreatLedger는 AI를 사용하여 가공되지 않은 보안 로그를 실행 가능한 위협 인텔리전스 (Threat Intelligence)로 변환하는 클라우드 네이티브 네트워크 탐지 및 대응 (NDR) 대시보드입니다.
라이브 데모: https://threatledger-app.vercel.app
기술 스택
- 프론트엔드 (Frontend): Vercel 기반의 Next.js 16 (v0로 스캐폴딩)
- 데이터베이스 (Database): pgvector가 포함된 Amazon Aurora PostgreSQL (AWS us-east-1)
- ORM: Prisma
- 인증 (Auth): Clerk
- AI: ChatGPT API
작동 방식
- Suricata, Zeek, 방화벽 (Firewall) CSV 또는 AWS VPC Flow 로그 업로드
- 커스텀 파서 (Custom parsers)가 경고 (Alerts)를 추출하고 정규화
- 상관관계 엔진 (Correlation engine)이 복합 위험 점수와 함께 경고를 공격 캠페인으로 그룹화
- 킬 체인 (Kill chain) 매핑을 통해 공격 진행 상황 표시
- Claude API가 쉬운 영어로 된 위협 요약 생성
왜 Aurora PostgreSQL인가
Aurora는 첫날부터 바로 프로덕션에 적용 가능한 데이터베이스를 제공했습니다. 우리는 21,742개의 IP 평판 기록에 대해 향후 시맨틱 검색 (Semantic search)을 수행할 수 있도록 pgvector를 활성화했습니다. Prisma와 Aurora의 조합은 설정 오버헤드 없이 타입 안정성 (Type-safe)이 보장된 쿼리를 제공했습니다.
가장 큰 도전 과제
Vercel의 서버리스 (Serverless) 환경에서 Aurora와 Prisma 7을 작동시키기 위해서는 커넥션 풀링 (Connection pooling)과 함께 PrismaPg 어댑터를 구성하고 SSL을 올바르게 처리해야 했습니다.
향후 계획
pgvector를 사용한 시맨틱 유사도 검색 (Semantic similarity search), MITRE ATT&CK 매핑, 그리고 실시간 로그 스트리밍 (Real-time log streaming)입니다.
H0: Hack the Zero Stack Hackathon을 위해 구축되었습니다. #H0Hackathon
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기