피드로 돌아가기
I Built an AI Honeypot on GCP — Attackers Came in 4 Minutes
Dev.toDev.to
Security

LLM 기반 동적 응답으로 세션 유지 시간을 극대화한 AI Honeypot 구축

I Built an AI Honeypot on GCP — Attackers Came in 4 Minutes

Michael Muriithi2026년 5월 5일3intermediate

AI 요약

Context

정적인 응답만 제공하는 기존 Honeypot의 한계로 인해 정교한 공격자가 빠르게 시스템의 가짜 특성을 파악하고 이탈하는 문제 발생. 실제 공격자의 TTP(Tactics, Techniques, and Procedures)를 심층 분석하기 위해 상호작용 가능한 지능형 기만 시스템의 필요성 대두.

Technical Solution

  • Cowrie를 통한 SSH/Telnet 에뮬레이션 계층 구축으로 기초적인 셸 환경 및 명령어 로그 수집 체계 마련
  • HoneyGPT LLM 레이어를 도입하여 공격자의 입력에 따른 맥락 기반의 동적 셸 출력 생성으로 공격자 체류 시간 증대
  • MITRE ATT&CK Mapper를 통한 관측 행동의 실시간 태깅 및 공격 기법 자동 분류 구조 설계
  • Quorum Sensing 기반의 노드 코디네이션 레이어를 구축하여 분산된 Honeypot 인스턴스 간 위협 인텔리전스 공유
  • Prometheus와 Grafana 파이프라인을 연동하여 연결 속도 및 지리적 분포 등 정량적 메트릭 실시간 트래킹
  • MapLibre GL JS와 WebSocket을 활용한 Phoenix HUD 대시보드로 실시간 공격 유입 시각화 구현

실천 포인트

1. Honeypot 및 보안 인프라 구축 시 관리 인터페이스의 API 인증 및 CORS 설정 재검토

2. 단순 로그 수집을 넘어 LLM을 활용한 동적 응답 생성으로 공격자의 분석 비용 증가 유도

3. 단일 노드가 아닌 분산 노드 간의 인텔리전스 공유 체계를 통한 협동 공격 패턴 식별

태그

#MITRE ATT&CK#Honeypot#TTP#LLM#Threat Intelligence
원문 읽기