[ANS-C01] AWS 오늘의 퀴즈 (복수 정답)

🎯 정답: A, B

✅ A. AWS WAF를 배포하여 공개 API 엔드포인트에 SQL 인젝션 및 XSS 공격 방지 규칙을 적용하고, AWS Shield Advanced를 활성화하여 계층 3, 4, 7 DDoS 공격으로부터 애플리케이션의 가용성을 보장합니다.

✅ B. AWS Secrets Manager를 사용하여 백엔드 데이터베이스 자격 증명을 안전하게 저장하고 자동 로테이션을 구성하며, AWS KMS (Key Management Service)를 사용하여 모든 AWS 서비스에 걸쳐 미사용 데이터(data at rest) 암호화를 관리합니다.

C. Amazon GuardDuty를 활성화하여 AWS 계정 및 워크로드에서 비정상적이거나 악의적인 활동을 지속적으로 탐지하고, AWS IAM (Identity and Access Management) 역할을 세분화하여 최소 권한 원칙(least privilege principle)으로 리소스 접근을 제어합니다.

D. AWS Certificate Manager (ACM)를 사용하여 HTTPS 통신을 위한 SSL/TLS 인증서를 프로비저닝하고, AWS CloudTrail을 활성화하여 모든 API 활동을 로깅하고 감사합니다.

E. Amazon Inspector를 사용하여 EC2 인스턴스의 취약점을 자동 평가하고, Amazon Detective를 사용하여 잠재적 보안 이슈에 대한 심층 조사를 수행합니다.

💡 해설:
문제에서 제시된 요구사항은 웹/DDoS 공격 방어, 민감한 자격 증명 관리, 미사용 데이터 암호화, 위협 탐지입니다.

* **A. AWS WAF**는 웹 애플리케이션을 일반적인 웹 공격(SQL Injection, XSS 등)으로부터 보호하며, **AWS Shield Advanced**는 계층 3, 4, 7 DDoS 공격으로부터 높은 수준의 가용성과 보호를 제공합니다. 이는 요구사항 1과 2를 직접적으로 충족합니다.
* **B. AWS Secrets Manager**는 데이터베이스 자격 증명과 같은 기밀 정보를 안전하게 저장하고 자동 로테이션을 통해 보안 및 운영 효율성을 크게 향상시킵니다(요구사항 3). **AWS KMS**는 다양한 AWS 서비스(RDS, S3, EBS 등)의 미사용 데이터를 암호화하는 데 사용되어 데이터 보안 요구사항(요구사항 4)을 충족하는 중앙 집중식 방법을 제공합니다.

* **C.** Amazon GuardDuty는 위협 탐지에 필수적이지만, IAM 역할은 일반적인 보안 모범 사례이지 특정 웹 공격 방어나 데이터 암호화를 위한 직접적인 솔루션은 아닙니다. 핵심적인 '보호' 및 '관리' 요구사항에 대한 직접적인 솔루션은 아닙니다.
* **D.** AWS Certificate Manager (ACM)는 HTTPS 통신을 위한 SSL/TLS 인증서를 제공하지만, 웹 공격이나 DDoS 공격 자체를 방어하지는 않습니다. AWS CloudTrail은 감사 및 로깅을 위한 서비스입니다.
* **E.** Amazon Inspector는 EC2 인스턴스 취약점 평가에, Amazon Detective는 보안 조사에 사용되지만, 제시된 주요 요구사항(웹 공격 방어, DDoS 방어, 자격 증명 관리, 데이터 암호화)에 대한 핵심 솔루션은 아닙니다.

🚀 Tip: ANS-C01 시험에서는 여러 보안 서비스를 조합하여 복잡한 비즈니스 요구사항을 해결하는 능력을 평가합니다. 각 서비스의 기능과 상호작용 방식, 그리고 특정 시나리오에서의 최적의 적용 방법(효율성, 비용 효과성, 고가용성 측면)을 이해하는 것이 중요합니다.