AWS Security Specialty (SCS-C02) 실전 모의고사 65문제

A) GuardDuty 탐지 결과를 SNS로 전송하고 운영자가 수동으로 처리 B) EventBridge 규칙으로 GuardDuty 탐지 결과를 캡처하여 Lambda 함수를 트리거, SG를 변경하여 격리하고 EBS 스냅샷 생성 C) CloudTrail 로그를 분석하여 수동으로 IP를 차단 D) AWS Config 규칙으로 비규격 인스턴스를 탐지

정답: B

설명: EventBridge → Lambda 패턴은 GuardDuty 탐지 결과에 대한 자동 대응의 표준입니다. Lambda는 인스턴스의 보안 그룹을 격리 전용 SG로 교체하고, CreateSnapshot API를 호출하여 포렌식용 EBS 스냅샷을 생성합니다. SSM Run Command로 메모리 덤프도 수집할 수 있습니다.

A) EC2 인스턴스가 Bitcoin 마이닝 풀 IP 주소와 통신하고 있음 B) EC2 인스턴스에 Bitcoin 지갑 소프트웨어가 설치됨 C) 계정에서 비정상적인 비용이 발생하고 있음 D) IAM 사용자가 암호화폐 관련 API를 호출하고 있음

정답: A

설명: CryptoCurrency:EC2/BitcoinTool.B는 EC2 인스턴스가 알려진 Bitcoin 관련 활동과 연관된 IP 주소 또는 도메인과 통신하고 있음을 나타냅니다. GuardDuty는 위협 인텔리전스 피드를 사용하여 알려진 악성 IP/도메인과의 통신을 탐지합니다.

A) 각 계정에서 GuardDuty S3 내보내기를 설정하고 중앙 버킷으로 복제 B) GuardDuty 위임 관리자 계정을 지정하고 Organizations 전체 멤버 계정 자동 등록 C) Security Hub를 사용하여 GuardDuty 탐지 결과를 집계 D) CloudWatch Events를 사용하여 탐지 결과를 중앙 계정으로 전달

정답: B

설명: AWS Organizations에서 GuardDuty 위임 관리자를 지정하면 모든 멤버 계정의 탐지 결과가 관리 계정으로 자동 집계됩니다. 새 계정이 Organizations에 추가되면 자동으로 GuardDuty가 활성화됩니다. Security Hub도 탐지 결과를 집계하지만, GuardDuty 자체의 다중 계정 기능이 더 완전한 솔루션입니다.

A) VPC Flow Logs B) CloudTrail 로그 C) GuardDuty 탐지 결과 D) AWS Config 변경 이력

정답: D

설명: Amazon Detective는 VPC Flow Logs, CloudTrail 로그, GuardDuty 탐지 결과를 자동으로 수집하고 분석합니다. AWS Config 변경 이력은 Detective의 데이터 소스가 아닙니다. Detective는 그래프 기반 분석을 사용하여 엔티티(IP, AWS 계정, EC2 인스턴스) 간의 관계를 시각화합니다.

A) 계정을 즉시 삭제 B) 해당 인스턴스를 종료 C) 인스턴스를 격리 보안 그룹으로 이동하고 스냅샷 생성 후 조사 D) AWS Support에 연락하여 인스턴스 차단 요청

정답: C

설명: 즉각적인 인스턴스 종료는 포렌식 증거를 파괴합니다. 올바른 접근은 인스턴스를 모든 인바운드/아웃바운드 트래픽을 차단하는 격리 SG로 이동하고, EBS 스냅샷을 생성하여 포렌식 분석을 위해 보존하는 것입니다. SSM Session Manager(VPC Endpoint 통해)로 인스턴스를 계속 분석할 수 있습니다.

A) 루트 계정에 MFA 활성화 여부 B) CloudTrail 멀티-리전 활성화 여부 C) VPC Flow Logs 활성화 여부 D) EC2 인스턴스의 최신 AMI 사용 여부

정답: D

설명: CIS AWS Foundations Benchmark는 IAM, 로깅, 모니터링, 네트워킹 관련 기본 보안 구성을 확인합니다. 루트 MFA, CloudTrail 멀티-리전, VPC Flow Logs는 모두 CIS 벤치마크 항목입니다. 최신 AMI 사용 여부는 Amazon Inspector의 영역입니다.

A) S3 버킷에 업로드된 파일 B) EC2 인스턴스 및 컨테이너 워크로드의 EBS 볼륨 C) Lambda 함수 코드 D) RDS 데이터베이스 파일

정답: B

설명: GuardDuty Malware Protection은 EC2 인스턴스 및 ECS/EKS 컨테이너 워크로드에 연결된 EBS 볼륨을 스캔하여 멀웨어를 탐지합니다. 에이전트 없이 EBS 볼륨 스냅샷을 생성하고 격리된 환경에서 스캔합니다. S3 객체 스캔은 별도 GuardDuty S3 Protection 기능입니다.

A) 관리 이벤트(Management Events) B) 데이터 이벤트(Data Events) C) 인사이트 이벤트(Insights Events) D) 네트워크 활동 이벤트

정답: B

설명: CloudTrail 데이터 이벤트는 S3 버킷 내 객체 수준 작업(GetObject, PutObject, DeleteObject)과 Lambda 함수 호출, DynamoDB 작업 등 리소스에 대한 직접 작업을 로깅합니다. 관리 이벤트는 계정의 제어 영역 작업(인스턴스 생성, IAM 정책 변경 등)을 로깅합니다.

A) 악성 IP에서의 API 호출 B) IAM 정책 위반 C) API 호출 빈도의 비정상적인 급증 또는 감소 D) 실패한 인증 시도

정답: C

설명: CloudTrail Insights는 계정의 API 사용 패턴을 분석하여 비정상적인 활동(예: 갑작스러운 DeleteSecurityGroup 호출 급증)을 탐지합니다. 정상적인 기준선을 자동으로 학습하고 벗어난 경우 Insights 이벤트를 생성합니다. GuardDuty는 악성 IP 탐지를, IAM Access Analyzer는 정책 분석을 담당합니다.

A) 내부 시스템 간 정상적인 통신 B) 인터넷에서 EC2 인스턴스로의 RDP 접근 허용 - 잠재적 보안 취약점 C) VPN을 통한 원격 접속 D) NAT Gateway를 통한 아웃바운드 트래픽

정답: B

설명: 203.0.113.1은 공인 IP 주소이고, dstport 3389는 RDP(Remote Desktop Protocol)입니다. ACCEPT는 이 트래픽이 허용되었음을 의미합니다. 인터넷에서 직접 RDP 접속이 허용된 것은 심각한 보안 취약점입니다. RDP는 VPN이나 Session Manager를 통해서만 접근해야 합니다.

A) S3 Server Access Logging B) CloudTrail S3 데이터 이벤트 C) CloudWatch 지표 D) VPC Flow Logs

정답: B

설명: CloudTrail S3 데이터 이벤트는 DeleteObject 작업을 포함한 S3 버킷의 객체 수준 작업을 로깅하며, 누가(IAM 사용자/역할), 언제, 어디서(IP), 어떤 객체를 삭제했는지 정확한 감사 추적을 제공합니다. S3 서버 액세스 로깅도 삭제를 기록하지만 CloudTrail만큼 상세한 IAM 컨텍스트를 제공하지 않습니다.

A) SQL 인젝션 공격 B) DNS 터널링을 통한 데이터 유출 C) 네트워크 포트 스캔 D) 버퍼 오버플로우 공격

정답: B

설명: DNS 쿼리 로그를 분석하면 DNS 터널링(데이터를 DNS 쿼리/응답에 인코딩하여 전송), C2(Command and Control) 서버와의 통신, 알려진 악성 도메인 접근 등을 탐지할 수 있습니다. 비정상적으로 긴 DNS 쿼리 이름이나 높은 쿼리 빈도는 DNS 터널링의 징후입니다.

A) filter userIdentity.type = "Root" 로 시작하는 쿼리 B) CloudWatch 지표 필터 사용 C) Athena로 S3의 CloudTrail 로그 쿼리 D) 위 모든 방법이 가능

정답: D

설명: 루트 계정 사용 탐지는 여러 방법으로 가능합니다. CloudWatch Logs Insights는 실시간 대화형 쿼리에 적합하고, CloudWatch 지표 필터는 지속적인 모니터링 및 알람에 적합하며, Athena는 대용량 장기 로그 분석에 적합합니다. CIS 벤치마크는 루트 계정 사용 시 알람을 설정하도록 권고합니다.

A) WAF 규칙 우선순위 오류 B) ALB 앞에 CloudFront가 없어 WAF가 CloudFront 레벨에만 적용됨 C) WAF가 ALB가 아닌 API Gateway에 연결됨 D) IP 세트 업데이트가 아직 전파되지 않음

정답: C

설명: WAF는 특정 리소스(ALB, CloudFront, API Gateway, AppSync)에 연결됩니다. WAF가 API Gateway에만 연결되어 있다면 ALB는 보호받지 못합니다. ALB를 보호하려면 WAF 웹 ACL을 ALB에 직접 연결해야 합니다. 또한 WAF는 리전 범위(ALB용) 또는 글로벌(CloudFront용)로 구분됩니다.

A) NACL은 상태 저장(stateful)이고 SG는 상태 비저장(stateless) B) SG는 상태 저장이고 NACL은 상태 비저장이며, NACL은 아웃바운드 임시 포트(1024-65535)를 명시적으로 허용해야 함 C) 두 서비스 모두 상태 저장 방식으로 동작 D) SG는 서브넷 레벨, NACL은 인스턴스 레벨에서 적용

정답: B

설명: 보안 그룹은 상태 저장(stateful)으로 반환 트래픽을 자동으로 허용합니다. NACL은 상태 비저장(stateless)으로 인바운드와 아웃바운드를 각각 별도로 설정해야 합니다. 클라이언트가 80번 포트로 요청을 보내면 서버의 응답은 클라이언트의 임시 포트(1024-65535)로 돌아가므로 NACL 아웃바운드에서 이 범위를 허용해야 합니다.

A) ALLOW tcp any any -> 10.0.0.0/8 80 B) alert http any any -> any any (msg:"Blocked User-Agent"; http.user_agent; content:"BadBot"; sid:1000001;) C) DENY UDP 0.0.0.0/0 53 any any D) block tcp external any to internal 443

정답: B

설명: AWS Network Firewall의 상태 저장 규칙 엔진은 Suricata 호환 규칙을 지원합니다. 올바른 Suricata 규칙 형식은 action protocol src_ip src_port direction dst_ip dst_port (options) 형식입니다. B의 예시는 특정 User-Agent를 포함한 HTTP 요청을 탐지하는 규칙입니다.

A) AWS Support에 DDoS 공격 사실을 신고 B) Shield Advanced 콘솔에서 비용 보호 기능 활성화 및 DRT(DDoS Response Team) 개입 요청 C) AWS Cost Explorer에서 이상 탐지 활성화 D) Trusted Advisor 비용 최적화 권고 확인

정답: B

설명: Shield Advanced는 DDoS 공격으로 인한 EC2, ELB, CloudFront, Route 53의 비용 급증에 대한 서비스 크레딧을 제공합니다. 이를 위해 Shield Advanced 보호가 해당 리소스에 활성화되어 있어야 하고, DRT가 공격을 확인해야 합니다. DRT는 실시간 공격 완화를 지원하는 전문 팀입니다.

A) IAM 정책에서 imds:GetToken 거부 B) EC2 인스턴스 시작 시 HttpTokens=required 설정 또는 기존 인스턴스에서 modify-instance-metadata-options 명령 실행 C) VPC 엔드포인트로 메타데이터 서비스 접근 제한 D) 보안 그룹에서 169.254.169.254로의 트래픽 차단

정답: B

설명: IMDSv2는 세션 지향 방식으로 먼저 PUT 요청으로 토큰을 획득한 후 GET 요청에 해당 토큰을 포함해야 합니다. 이를 통해 SSRF(서버 사이드 요청 위조) 공격으로부터 메타데이터를 보호합니다. 기존 인스턴스는 aws ec2 modify-instance-metadata-options --http-tokens required 명령으로 강제 적용할 수 있습니다.

A) 모든 계정에서 AWS Config 활성화 B) AWS Organizations 활성화, Firewall Manager 관리자 계정 지정, 각 계정에서 AWS Config 활성화 C) Security Hub 활성화 및 CIS 표준 적용 D) GuardDuty 활성화 및 위임 관리자 지정

정답: B

설명: AWS Firewall Manager 사용을 위한 전제 조건: 1) AWS Organizations 활성화, 2) Organizations 관리 계정에서 Firewall Manager 관리자 계정 지정, 3) 정책을 적용할 모든 계정에서 AWS Config 활성화. AWS Config는 Firewall Manager가 리소스 구성을 평가하고 정책을 적용하는 데 필요합니다.

A) 웹 애플리케이션의 로드 밸런싱 B) 타사 네트워크 가상 어플라이언스(IDS/IPS, 방화벽)를 투명하게 삽입하여 트래픽 검사 C) API Gateway 요청 분산 D) 데이터베이스 연결 풀링

정답: B

설명: Gateway Load Balancer는 GENEVE 프로토콜을 사용하여 트래픽을 타사 네트워크 가상 어플라이언스(Palo Alto, Fortinet 등)로 보내 검사한 후 원래 목적지로 전달합니다. 패킷 레벨의 투명한 트래픽 검사가 가능하며, 어플라이언스의 수평 확장을 지원합니다.

A) NAT Gateway 사용 B) S3 게이트웨이 엔드포인트 생성 및 라우팅 테이블에 추가 C) VPN 연결 설정 D) CloudFront로 S3 앞에 캐싱 레이어 구성

정답: B

설명: S3 게이트웨이 엔드포인트는 무료로 VPC에서 S3로의 트래픽이 AWS 네트워크 내에서만 이동하도록 합니다. 라우팅 테이블에 S3 엔드포인트 경로를 추가하면 인터넷 게이트웨이나 NAT Gateway를 거치지 않습니다. S3 버킷 정책에서 aws:SourceVpce 조건으로 특정 VPC 엔드포인트에서만 접근하도록 제한할 수도 있습니다.

A) Allow → Deny → 기본 거부 B) 명시적 Deny → Organizations SCP → 권한 경계 → 세션 정책 → ID 기반 정책 → 리소스 기반 정책 → 기본 거부 C) 리소스 정책 → IAM 정책 → SCP → 기본 허용 D) 권한 경계 → SCP → IAM 정책 → 기본 거부

정답: B

설명: IAM 정책 평가 로직: 1) 명시적 Deny가 있으면 즉시 거부, 2) Organizations SCP가 허용해야 함, 3) 권한 경계(Permission Boundary)가 허용해야 함, 4) 세션 정책이 허용해야 함, 5) ID 기반 정책 또는 리소스 기반 정책 중 하나라도 허용하면 허용(동일 계정), 6) 위 조건 불충족 시 기본 거부.

A) 개발자 계정에서만 IAM 정책 설정 B) 대상 계정의 역할 신뢰 정책에서 개발자 계정을 Principal로 지정, 개발자 IAM 사용자/역할에 sts:AssumeRole 허용 C) 두 계정 간 VPC 피어링 설정 D) AWS Direct Connect로 두 계정 연결

정답: B

설명: 교차 계정 접근에는 양방향 신뢰가 필요합니다. 1) 대상 계정의 IAM 역할 신뢰 정책(Trust Policy)에 원본 계정 또는 특정 IAM 엔티티를 Principal로 지정, 2) 원본 계정의 IAM 사용자/역할에 대상 역할에 대한 sts:AssumeRole 권한 부여. 두 조건이 모두 충족되어야 합니다.

A) IAM 사용자가 최대로 받을 수 있는 권한을 정의하며, 권한 경계 내의 모든 작업이 자동으로 허용됨 B) IAM 엔티티에 부여할 수 있는 최대 권한을 정의하는 고급 기능으로, 실제 유효 권한은 권한 경계와 ID 기반 정책의 교집합 C) 리소스에 적근을 허용하는 추가적인 권한 부여 메커니즘 D) Organizations SCP와 동일한 기능

정답: B

설명: 권한 경계는 IAM 사용자 또는 역할에 부여할 수 있는 최대 권한의 상한선을 설정합니다. 실제 유효 권한은 권한 경계와 ID 기반 정책의 교집합(AND)입니다. 권한 경계만으로는 권한이 부여되지 않으며, 반드시 ID 기반 정책과 함께 사용해야 합니다. 개발자에게 IAM 관리 권한을 위임하면서 과도한 권한 부여를 방지하는 데 유용합니다.

A) 사용자 풀은 AWS 리소스 접근을 위한 임시 자격증명을 제공하고, 자격 증명 풀은 사용자 디렉터리를 관리 B) 사용자 풀은 사용자 인증 및 디렉터리 관리(로그인, 등록, MFA), 자격 증명 풀은 인증된 사용자에게 AWS 임시 자격증명 부여 C) 사용자 풀은 모바일 앱 전용, 자격 증명 풀은 웹 앱 전용 D) 두 기능은 동일하며 사용 사례에 따라 선택

정답: B

설명: Cognito 사용자 풀은 사용자 인증 서비스입니다(JWT 토큰 발급, 사용자 등록/로그인, MFA, 소셜 로그인 연동). Cognito 자격 증명 풀은 사용자 풀 토큰이나 소셜 IdP 토큰을 받아 AWS STS를 통해 임시 AWS 자격증명(Access Key, Secret Key, Session Token)을 교환해줍니다. 두 서비스는 일반적으로 함께 사용됩니다.

A) 예, SCP는 모든 엔티티에 적용 B) 아니요, SCP는 관리 계정에는 적용되지 않음 C) 예, 단 루트 사용자는 SCP를 우회할 수 있는 특권이 있음 D) Organizations 설정에 따라 다름

정답: B

설명: SCP는 멤버 계정의 IAM 사용자, 역할, 루트 사용자에게 적용됩니다. 단, Organizations의 관리 계정(master account)에는 SCP가 적용되지 않습니다. 이것이 관리 계정에서 민감한 작업을 수행하지 않도록 권고하는 이유 중 하나입니다. 관리 계정은 Organizations 관리 목적으로만 사용해야 합니다.

A) IAM 정책의 구문 오류 탐지 B) 외부 엔티티(다른 계정, 인터넷)와 공유된 AWS 리소스 식별 C) 사용되지 않는 IAM 권한 식별 D) 루트 계정 활동 모니터링

정답: B

설명: IAM Access Analyzer는 신뢰 구역(신뢰하는 계정 범위) 외부의 엔티티가 접근할 수 있는 리소스를 식별합니다. S3 버킷, IAM 역할, KMS 키, Lambda 함수, SQS 큐, Secrets Manager 시크릿 등이 분석 대상입니다. 공개 접근 가능한 S3 버킷이나 다른 계정이 assume할 수 있는 IAM 역할 등을 찾아냅니다.

A) 사용자 → AWS → ADFS → 자격증명 검증 → AWS 콘솔 B) 사용자 → ADFS 인증 → SAML 어서션 → AWS STS AssumeRoleWithSAML → 임시 자격증명 → AWS 콘솔 C) 사용자 → Cognito → ADFS → AWS 콘솔 D) 사용자 → AWS IAM → ADFS → 콘솔

정답: B

설명: SAML 페더레이션 흐름: 1) 사용자가 ADFS로 인증, 2) ADFS가 SAML 어서션(역할 정보 포함) 발급, 3) 사용자 브라우저가 SAML 어서션을 AWS STS의 AssumeRoleWithSAML 엔드포인트로 전달, 4) STS가 임시 자격증명 발급, 5) AWS 콘솔 접근. AWS IAM에서 IdP를 SAML 공급자로 등록해야 합니다.

A) IAM 정책만으로 CMK 사용 권한 부여 가능 B) 키 정책이 우선하며, IAM 정책은 무시됨 C) 키 정책에서 IAM 사용을 명시적으로 허용해야 IAM 정책으로 CMK에 대한 접근 제어 가능 D) 키 정책과 IAM 정책은 독립적으로 동작

정답: C

설명: KMS CMK 접근은 키 정책 없이는 IAM 정책으로만 제어할 수 없습니다. 키 정책에 "Principal": {"AWS": "arn:aws:iam::ACCOUNT-ID:root"} 와 kms:* 허용이 있어야 해당 계정의 IAM 정책으로 CMK를 제어할 수 있습니다. 기본 키 정책은 루트 계정에 전체 접근을 허용하여 IAM 정책 사용이 가능하도록 합니다.

A) 데이터를 두 개의 다른 KMS 키로 이중 암호화 B) KMS CMK(데이터 키 암호화 키)로 데이터 키를 암호화하고, 데이터 키로 실제 데이터를 암호화하여 암호화된 데이터 키를 데이터와 함께 저장 C) 데이터를 S3에 저장 후 KMS로 버킷을 암호화 D) SSL/TLS로 전송 중 데이터 보호

정답: B

설명: 봉투 암호화 흐름: 1) KMS GenerateDataKey API로 평문 데이터 키와 암호화된 데이터 키 획득, 2) 평문 데이터 키로 데이터 암호화, 3) 평문 데이터 키를 메모리에서 즉시 삭제, 4) 암호화된 데이터 키를 암호화된 데이터 옆에 저장. 복호화 시 KMS Decrypt로 데이터 키를 복호화한 후 데이터를 복호화합니다. 대용량 데이터를 KMS로 직접 암호화하면 4KB 제한에 걸리기 때문에 봉투 암호화를 사용합니다.

A) s3:PutObject 권한만 필요 B) s3:PutObject와 kms:GenerateDataKey 권한 모두 필요 C) s3:PutObject, kms:GenerateDataKey, kms:Decrypt 권한 모두 필요 D) kms:Encrypt 권한만 필요

정답: B

설명: SSE-KMS 암호화로 S3에 객체를 업로드할 때: 1) s3:PutObject - S3에 객체를 쓰는 권한, 2) kms:GenerateDataKey - KMS에서 데이터 키를 생성하는 권한. 다운로드 시에는 s3:GetObject와 kms:Decrypt가 필요합니다.

A) 비용을 최소화해야 할 때 B) FIPS 140-2 Level 3 인증 하드웨어, 단일 테넌트 HSM, 키에 대한 완전한 통제가 필요하거나 Oracle TDE, PKCS#11이 필요한 경우 C) 간단한 S3 암호화가 필요한 경우 D) 자동 키 교체가 필요한 경우

정답: B

설명: CloudHSM을 선택하는 경우: 1) FIPS 140-2 Level 3 인증 필요(KMS는 Level 2), 2) 단일 테넌트 전용 HSM 필요, 3) AWS가 키 소재에 접근하지 못하도록 해야 하는 규정 요구, 4) Oracle DB의 TDE(Transparent Data Encryption), 5) PKCS#11, JCE, CNG API 지원 필요. KMS는 관리 용이성과 AWS 서비스와의 통합에 강점이 있습니다.

A) 신용카드 번호 B) AWS 액세스 키 C) 주민등록번호(SSN) D) 암호화된 비밀번호 해시

정답: D

설명: Amazon Macie는 기계 학습을 사용하여 S3에서 민감한 데이터를 자동으로 탐지합니다. 탐지 가능한 유형: 개인 식별 정보(SSN, 여권번호, 운전면허번호), 재무 정보(신용카드번호, 은행계좌번호), 자격증명(AWS 액세스 키, API 키, OAuth 토큰), 의료 정보 등. 암호화된 해시는 원래 데이터를 식별할 수 없으므로 민감 데이터로 분류하지 않습니다.

A) Secrets Manager만 KMS 암호화를 지원 B) Secrets Manager는 자동 교체, 교차 계정 접근, RDS/Redshift/DocumentDB 네이티브 통합을 제공하며 비용이 발생하고, Parameter Store SecureString은 무료지만 자동 교체 기능 없음 C) Parameter Store가 더 많은 서비스와 통합됨 D) 두 서비스는 기능이 동일하며 가격만 다름

정답: B

설명: Secrets Manager의 주요 장점: 1) 자동 시크릿 교체(Lambda 함수 사용), 2) RDS, Redshift, DocumentDB 비밀번호 자동 교체 네이티브 지원, 3) 교차 계정 접근 지원, 4) 시크릿 버전 관리. 비용은 시크릿당 월 약 $0.40. Parameter Store SecureString은 무료(표준 파라미터), KMS 암호화 지원, 하지만 자동 교체 기능 없음. 데이터베이스 비밀번호는 Secrets Manager, 설정 값은 Parameter Store 권장.

A) 두 개의 S3 버킷에 동시에 데이터 저장 B) CNSSI 1253 및 FIPS 200에서 요구하는 이중 암호화 레이어가 필요한 경우(S3 객체를 두 개의 독립적인 암호화 레이어로 보호) C) 클라이언트 측과 서버 측 암호화를 동시에 적용 D) 복수의 AWS 리전에 데이터 복제

정답: B

설명: DSSE-KMS는 S3 객체에 두 개의 독립적인 KMS 암호화 레이어를 적용합니다. 미국 정부 기관 등 특정 규정 준수 요구사항(CNSSI 1253, DoD Mission Assurance Category)에서 이중 암호화를 요구할 때 사용합니다. 각 레이어는 독립적인 데이터 암호화 키(DEK)를 사용합니다.

A) AWS Config가 직접 리소스를 수정 B) Config 규칙이 SSM 자동화 문서를 트리거하여 수정 작업 실행 C) Lambda 함수가 직접 호출됨 D) CloudFormation StackSets로 수정

정답: B

설명: AWS Config 자동 수정은 SSM(Systems Manager) 자동화 문서를 사용합니다. Config 규칙에 수정 작업을 연결하고, 비규격 리소스 탐지 시 지정된 SSM 자동화 문서가 실행됩니다. 예: s3-bucket-public-read-prohibited 규칙 위반 시 AWS-DisableS3BucketPublicReadWrite 자동화 문서를 실행하여 퍼블릭 접근을 차단합니다.

A) EC2 인스턴스 OS 취약점(CVE) B) ECR 컨테이너 이미지 취약점 C) Lambda 함수 코드 취약점 D) S3 버킷 설정 취약점

정답: D

설명: Amazon Inspector v2 스캔 대상: 1) EC2 인스턴스 - OS 패키지 취약점(CVE) 및 네트워크 노출, 2) ECR 컨테이너 이미지 - 이미지의 OS 패키지 취약점, 3) Lambda 함수 - 함수 코드 및 레이어의 소프트웨어 취약점. S3 버킷 설정은 AWS Config나 Security Hub에서 확인합니다.

A) 예방적 가드레일은 AWS Config 규칙, 탐지적 가드레일은 SCP를 사용 B) 예방적 가드레일은 SCP로 특정 작업을 아예 차단, 탐지적 가드레일은 AWS Config 규칙으로 비규격 상태를 탐지하고 보고 C) 두 유형은 동일하며 이름만 다름 D) 예방적은 CloudWatch 알람, 탐지적은 EventBridge 규칙 사용

정답: B

설명: Control Tower 가드레일 유형: 1) 예방적(Preventive) - SCP를 사용하여 비규격 작업 자체를 차단(예: 루트 계정 액세스 키 생성 금지), 2) 탐지적(Detective) - AWS Config 관리형 규칙을 사용하여 비규격 상태를 탐지하고 알림(예: S3 버킷 퍼블릭 읽기 접근 탐지). 예방적이 더 강력하지만 모든 정책을 예방적으로 구현하기는 어렵습니다.

A) 보안 취약점 자동 수정 B) 감사 증거를 지속적으로 자동 수집하여 PCI-DSS, HIPAA, SOC 2 등의 규정 준수 보고서 작성 간소화 C) 계정의 비용 분석 및 최적화 D) 네트워크 트래픽 분석

정답: B

설명: AWS Audit Manager는 AWS Config, CloudTrail, Security Hub 등에서 감사 증거를 자동으로 수집하여 규정 준수 보고서 작성을 자동화합니다. PCI-DSS, HIPAA, GDPR, SOC 2, ISO 27001 등 주요 프레임워크에 대한 사전 구축된 평가 템플릿을 제공합니다. 감사 팀이 수동으로 증거를 수집하는 시간을 크게 줄여줍니다.

A) IAM 역할의 권한을 다른 계정과 공유 B) AWS 리소스(서브넷, Transit Gateway, License Manager 설정 등)를 Organizations 내 다른 계정과 공유하여 중복 리소스 생성 방지 C) S3 버킷 간 데이터 복제 D) 다중 계정 CloudWatch 대시보드 생성

정답: B

설명: AWS RAM은 VPC 서브넷, Transit Gateway, Route 53 Resolver 규칙, License Manager 구성, AWS Glue 카탈로그 등을 AWS Organizations의 다른 계정이나 특정 계정과 공유합니다. 예: 중앙 네트워킹 계정의 VPC 서브넷을 애플리케이션 계정과 공유하면 각 계정이 동일한 서브넷에 리소스를 배포할 수 있어 중앙 집중식 네트워크 관리가 가능합니다.

A) 각 계정에서 수동으로 설정 B) AWS Firewall Manager를 사용하여 중앙 보안 정책 정의 및 자동 적용 C) CloudFormation StackSets로 각 계정에 설정 배포 D) AWS Config 집계기(Aggregator)로 비규격 계정 탐지 후 수동 수정

정답: B

설명: AWS Firewall Manager는 Organizations 전체에서 일관된 보안 정책을 자동으로 적용합니다. 지원 정책 유형: 1) WAF 정책(ALB, API GW, CloudFront), 2) Shield Advanced, 3) VPC 보안 그룹 정책, 4) Network Firewall, 5) Route 53 DNS Firewall, 6) S3 버킷 정책. 새 계정이 Organizations에 추가되면 자동으로 정책이 적용됩니다.

A) UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B B) UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS C) Policy:IAMUser/RootCredentialUsage D) Recon:IAMUser/UserPermissions

정답: B

설명: GuardDuty는 EC2 인스턴스 메타데이터를 통해 발급된 임시 자격증명이 해당 인스턴스 외부(다른 IP)에서 사용되는 것을 탐지합니다. UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS는 EC2 역할 자격증명이 AWS 외부 IP에서 사용될 때 발생합니다. 이는 자격증명 탈취(SSRF, 인스턴스 침해 등)의 강력한 지표입니다.

A) 대기 기간 동안 데이터에 즉시 접근 불가 B) 대기 기간 동안 키는 비활성화되어 새 암호화는 불가하지만 기존 데이터 복호화는 가능, 키 삭제 후에는 영구적으로 복호화 불가 C) 키 삭제 후에도 S3 자동 키 교체로 새 키로 재암호화됨 D) 키 삭제 전에 자동으로 데이터가 SSE-S3로 마이그레이션됨

정답: B

설명: KMS 키 삭제 대기 기간(7-30일) 동안: 키는 비활성화 상태가 되어 새로운 암호화 작업에 사용 불가하지만, 이미 이 키로 암호화된 데이터의 복호화는 여전히 가능합니다. 대기 기간은 실수로 인한 삭제를 방지하기 위한 안전 장치입니다. 키가 완전히 삭제된 후에는 해당 키로 암호화된 데이터를 복호화할 방법이 없습니다. 키 비활성화(Disable)는 언제든지 재활성화 가능하므로 먼저 비활성화를 시도해야 합니다.

A) ssm 엔드포인트만 필요 B) com.amazonaws.region.ssm, com.amazonaws.region.ssmmessages, com.amazonaws.region.ec2messages 세 개의 인터페이스 엔드포인트 필요 C) S3 게이트웨이 엔드포인트만 필요 D) NAT Gateway가 있으면 VPC 엔드포인트 불필요

정답: B

설명: Private 서브넷에서 SSM Session Manager 사용을 위한 VPC 엔드포인트: 1) com.amazonaws.region.ssm - SSM 서비스 주 엔드포인트, 2) com.amazonaws.region.ssmmessages - Session Manager 채널 생성/관리, 3) com.amazonaws.region.ec2messages - SSM Agent와 SSM 서비스 간 통신. 또한 패치 관리를 위해 com.amazonaws.region.s3 게이트웨이 엔드포인트도 권장됩니다.

A) GitHub Actions가 관리자 권한을 자동으로 취득 B) 장기 AWS 자격증명(액세스 키)을 GitHub Secrets에 저장할 필요 없이 단기 임시 자격증명을 동적으로 획득 C) AWS 계정 정보가 GitHub에 공유됨 D) 모든 GitHub 워크플로우에 동일한 AWS 권한 부여

정답: B

설명: OIDC(OpenID Connect) 연동을 통한 GitHub Actions의 AWS 접근: GitHub를 IAM OIDC 공급자로 등록하고 IAM 역할을 구성하면, 워크플로우 실행 시 GitHub이 발급한 JWT 토큰으로 AssumeRoleWithWebIdentity를 호출하여 단기 임시 자격증명을 획득합니다. 장기 액세스 키를 GitHub Secrets에 저장하지 않으므로 자격증명 유출 위험이 없습니다. IAM 역할 신뢰 정책에서 특정 리포지토리/브랜치로 접근을 제한할 수 있습니다.

A) aws:SourceVpc B) aws:SourceVpce C) aws:VpcId D) s3:VpcEndpoint

정답: B

설명: aws:SourceVpce는 특정 VPC 엔드포인트 ID를 통한 접근만 허용합니다. aws:SourceVpc는 특정 VPC ID를 통한 접근을 허용합니다. 버킷 정책에서 Deny all + Allow only via VpceID 패턴으로 특정 VPC 엔드포인트에서만 접근 가능한 버킷을 구성할 수 있습니다.

A) 영구적인 접근 권한이 필요한 경우 B) 임시적이거나 프로그래밍 방식으로 특정 AWS 서비스(EBS, RDS 등)에 키 사용 권한을 위임할 때 C) 다른 계정에서 키를 관리할 때 D) 키 삭제를 방지할 때

정답: B

설명: KMS 그랜트는 특정 보안 주체에게 키의 특정 작업(Decrypt, Encrypt 등)만 허용하는 임시 권한입니다. AWS 서비스(EBS, RDS, Redshift)가 서비스 연결 역할로 고객 KMS 키를 사용할 때 자동으로 그랜트가 생성됩니다. 그랜트는 프로그래밍 방식으로 생성/취소할 수 있어 유연한 접근 제어가 가능합니다. RetireGrant 또는 RevokeGrant로 취소합니다.

A) S3 서버 액세스 로그 분석 B) CloudTrail 로그를 Athena로 쿼리하여 DeleteObject/DeleteObjects 이벤트 검색 C) CloudWatch 지표에서 S3 삭제 작업 확인 D) VPC Flow Logs 분석

정답: B

설명: CloudTrail + Athena 조합은 대규모 로그 분석에 효과적입니다. CloudTrail S3 데이터 이벤트가 활성화되어 있어야 합니다. Athena에서 CloudTrail 로그가 저장된 S3를 테이블로 생성하고 다음과 같이 쿼리합니다: SELECT userIdentity.arn, eventTime, requestParameters.bucketName, requestParameters.key FROM cloudtrail_logs WHERE eventName IN ('DeleteObject', 'DeleteObjects') AND eventTime BETWEEN '...' AND '...'

A) 인터넷 신뢰 체인 자동 포함 B) 내부 마이크로서비스 간 mTLS, 내부 애플리케이션용 프라이빗 인증서 발급이 가능하며 비공개 CA 계층 구조 관리 가능 C) 무료로 사용 가능 D) 모든 퍼블릭 도메인에 인증서 발급 가능

정답: B

설명: ACM 프라이빗 CA(Certificate Authority)는 조직 내부용 PKI 인프라를 구축합니다. 내부 서비스 간 mTLS(상호 TLS), 내부 API 인증, IoT 기기 인증서 관리에 사용됩니다. 퍼블릭 신뢰 체인이 없으므로 인터넷 사용자는 신뢰하지 않지만 내부 시스템에서 루트 CA를 신뢰하도록 구성할 수 있습니다.

A) 강력한 자격 증명 기반 구현 B) 추적 가능성 활성화 C) 단일 보안 계층 적용으로 관리 단순화 D) 보안 이벤트 대비

정답: C

설명: AWS Well-Architected Framework 보안 기둥의 7가지 설계 원칙: 1) 강력한 자격 증명 기반 구현, 2) 추적 가능성 활성화, 3) 모든 레이어에 보안 적용(심층 방어), 4) 보안 모범 사례 자동화, 5) 전송 중 및 저장 데이터 보호, 6) 사람의 데이터 직접 접근 최소화, 7) 보안 이벤트 대비. "단일 보안 계층"은 심층 방어 원칙에 반합니다.

A) EC2 인스턴스에서 악성 DNS 서버로의 트래픽 B) EC2 인스턴스가 DNS 쿼리를 통해 데이터를 외부로 유출하고 있음 C) DNS 서버가 DDoS 공격을 받고 있음 D) Route 53 Resolver가 악성 쿼리를 수신

정답: B

설명: DNS 데이터 유출은 데이터를 DNS 쿼리의 서브도메인에 인코딩하여 악성 DNS 서버로 전달하는 기법입니다. 예: dGhpcyBpcyBzZWNyZXQ.malicious.com 형태의 쿼리. 방화벽이 HTTP/HTTPS를 차단해도 DNS(53번 포트)는 대부분 허용되기 때문에 자주 사용됩니다. Route 53 DNS Firewall 또는 Network Firewall로 알려진 악성 도메인을 차단할 수 있습니다.

A) 모든 계정에 동일한 Config 규칙 자동 배포 B) 여러 계정/리전의 AWS Config 데이터를 단일 계정으로 집계하여 중앙에서 규정 준수 현황 확인 C) 비규격 리소스 자동 수정 D) Config 규칙 실행 비용 절감

정답: B

설명: AWS Config 집계기는 Organizations의 여러 멤버 계정 또는 특정 계정들의 Config 리소스 구성 및 규정 준수 데이터를 단일 집계 계정에서 중앙 확인할 수 있게 합니다. 전체 조직의 규정 준수 현황 대시보드, 리소스 인벤토리 확인에 유용합니다. 단, 집계기 자체로는 자동 수정이나 규칙 배포 기능은 없습니다.

A) IAM 역할을 제거하고 하드코딩된 자격증명 사용 B) 최소 권한 원칙 적용: 애플리케이션이 실제로 필요한 서비스와 작업만 허용하는 커스텀 정책 생성 및 권한 경계 설정 C) MFA를 EC2 역할에 추가 D) 역할 세션 기간을 최소화

정답: B

설명: 최소 권한 원칙은 보안의 기본입니다. IAM Access Analyzer의 "정책 생성" 기능을 사용하면 CloudTrail 로그를 분석하여 실제 사용된 API 호출만을 기반으로 최소 권한 정책을 자동 생성할 수 있습니다. 또한 권한 경계(Permission Boundary)를 추가하여 향후 역할에 과도한 권한이 부여되는 것을 방지합니다.

A) 환경 변수에 평문 비밀번호 저장 B) Lambda 환경 변수에 KMS로 암호화된 값 저장 또는 Secrets Manager에서 런타임에 동적으로 조회(캐싱 전략 포함) C) Lambda 함수 코드에 하드코딩 D) S3 버킷에 암호화된 파일로 저장

정답: B

설명: 권장 방법: AWS Secrets Manager를 사용하여 비밀번호를 저장하고 Lambda 실행 시 SDK로 조회합니다. Lambda 실행 환경(1회 호출 동안)에서 캐싱하여 매 호출마다 Secrets Manager API를 호출하지 않도록 최적화합니다. AWS Parameter Store SecureString도 대안입니다. Lambda 환경 변수는 KMS로 암호화되지만(전송 중), Secrets Manager가 자동 교체, 감사 추적 등 추가 보안 기능을 제공합니다.

A) 물리적 데이터센터 보안 B) 하이퍼바이저 패치 C) 운영체제 패치, IAM 구성, 보안 그룹 설정, 데이터 암호화 D) 글로벌 인프라 가용성

정답: C

설명: AWS 공동 책임 모델: AWS 책임(보안의 클라우드) - 물리적 인프라, 하이퍼바이저, 글로벌 네트워크, 관리형 서비스의 패치. 고객 책임(클라우드에서의 보안) - 게스트 OS 패치, IAM 구성, 보안 그룹/NACL, 데이터 암호화, 네트워크 트래픽 보호, 애플리케이션 보안. IaaS(EC2)는 고객 책임 범위가 넓고, SaaS(S3)는 AWS 책임 범위가 더 넓습니다.

A) 구문 오류가 있음 B) 모든 S3 작업을 모든 S3 리소스에 허용하는 과도한 권한 - 최소 권한 원칙 위반 C) S3에만 제한되어 있어 권한이 너무 적음 D) Resource 와일드카드는 S3에서 필수

정답: B

설명: s3:_ 와일드카드는 s3:DeleteBucket, s3:DeleteObject를 포함한 모든 S3 작업을 허용합니다. Resource:_ 는 계정 내 모든 S3 버킷을 포함합니다. 최소 권한 원칙에 따르면 특정 버킷 ARN과 필요한 특정 작업만 허용해야 합니다. 예: {"Action": ["s3:GetObject", "s3:PutObject"], "Resource": "arn:aws:s3:::my-bucket/*"}

A) S3 버킷 암호화 활성화 B) S3 버전 관리 + MFA Delete + 불변 백업(S3 Object Lock) + 최소 권한 IAM + GuardDuty + 오프라인 백업 C) CloudTrail 로깅 활성화 D) VPC Flow Logs 활성화

정답: B

설명: 랜섬웨어 대응 심층 방어: 1) S3 버전 관리로 삭제된 파일 복구, 2) MFA Delete로 버전 삭제 방지, 3) S3 Object Lock(WORM)으로 특정 기간 삭제 불가, 4) 최소 권한 IAM으로 대량 삭제 권한 제한, 5) GuardDuty로 비정상적인 삭제 패턴 탐지, 6) AWS Backup으로 정기 백업 + Vault Lock(불변 백업 저장소). 다중 리전/계정 백업도 권장됩니다.

A) 10년 유효기간 자체 서명 인증서 사용 B) ACM 관리 인증서 사용(자동 갱신), ACM 만료 임박 시 EventBridge 알림 구성, 서드파티 인증서의 경우 90일 전 갱신 알림 설정 C) 모든 인증서를 수동으로 관리 D) CloudFront에서만 인증서 사용

정답: B

설명: ACM 관리 인증서는 만료 전 자동 갱신됩니다(도메인 검증 인증서). ACM은 aws.health 또는 EventBridge를 통해 인증서 만료 45일, 30일, 15일, 7일, 3일, 1일 전에 알림을 보냅니다. ACM을 통해 가져온(imported) 인증서는 자동 갱신되지 않으므로 별도 모니터링이 필요합니다.

A) 로그 파일 암호화 B) 로그 파일 유효성 검사(Log File Validation) - SHA-256 해시와 RSA 서명으로 로그 파일 무결성 검증 C) 실시간 로그 스트리밍 D) 로그 파일 자동 삭제

정답: B

설명: CloudTrail 로그 파일 유효성 검사를 활성화하면 CloudTrail이 매 시간 다이제스트 파일을 생성합니다. 다이제스트 파일에는 지난 1시간 동안의 로그 파일 해시 목록과 이전 다이제스트 파일의 해시가 포함됩니다. aws cloudtrail validate-logs CLI 명령으로 로그 파일이 삭제되거나 변조되지 않았음을 검증할 수 있습니다.

A) 루트 계정 삭제 B) IAM 관리자 사용자 생성, 루트 계정에 MFA 활성화, 루트 액세스 키 삭제, 일상 업무에 IAM 역할/사용자 사용 C) 루트 계정 비밀번호 변경 D) 루트 계정에 IP 제한 적용

정답: B

설명: AWS 루트 계정 보안 모범 사례: 1) 루트 계정에 MFA 활성화(하드웨어 MFA 권장), 2) 루트 액세스 키 삭제 또는 비활성화, 3) 일상 업무를 위한 IAM 관리자 사용자/역할 생성, 4) 루트 계정은 특정 작업(Organizations 관리, 루트 접근이 필요한 서비스 구성)에만 사용, 5) 루트 계정 사용 시 CloudWatch 알람 설정.

A) 특정 AWS 리전 사용 금지 B) 특정 EC2 인스턴스 유형 사용 제한 C) IAM 역할 생성 허용 D) 멤버 계정의 IAM 사용자에게 권한 부여

정답: D

설명: SCP는 조직의 멤버 계정에서 사용 가능한 최대 권한의 상한선을 설정하는 가드레일입니다. SCP는 권한을 부여하지 않고 제한만 합니다. 실제 권한 부여는 각 계정의 IAM 정책에서 이루어집니다. SCP로 할 수 있는 것: 특정 리전 사용 금지, 특정 서비스/작업 금지, 특정 리소스 태그 요구, 루트 계정 액세스 금지.

A) 자동 IAM 역할 생성 B) 적응형 인증(Adaptive Authentication) - 위험 점수 기반으로 MFA 요구 또는 로그인 차단, 침해된 자격증명 보호 C) S3 버킷 자동 암호화 D) CloudTrail 로그 자동 분석

정답: B

설명: Cognito 고급 보안 기능: 1) 위험 기반 적응형 인증 - 비정상적인 로그인 패턴(새 기기, 새 위치, 비정상적인 시간) 탐지 시 MFA 요구 또는 차단, 2) 침해된 자격증명 보호 - 알려진 유출 비밀번호 사용 차단, 3) 보안 이벤트 로깅 및 모니터링. 이를 통해 계정 탈취(Account Takeover) 공격을 방어합니다.

A) AWS Systems Manager Session Manager - 에이전트 기반으로 SSH 포트(22) 없이 암호화된 세션 제공 B) AWS Direct Connect C) VPN 연결 D) CloudShell

정답: A

설명: SSM Session Manager의 장점: 1) SSH 키 관리 불필요, 2) 포트 22 인바운드 불필요(아웃바운드 HTTPS만 필요), 3) 모든 세션이 CloudTrail/S3에 자동 로깅, 4) IAM 기반 접근 제어, 5) VPC 내 인터넷 없는 인스턴스도 VPC 엔드포인트를 통해 접근 가능. Port Forwarding, SSH 터널링도 지원합니다.

A) 기존 VPN + 방화벽 B) IAM Identity Center(SSO) + 조건부 접근 + VPC 엔드포인트 + mTLS(ACM Private CA) + Network Firewall + GuardDuty C) VPC 피어링만으로 충분 D) 퍼블릭 인터넷 차단

정답: B

설명: 제로 트러스트 원칙 "절대 신뢰하지 않고 항상 검증"을 AWS에서 구현: 1) IAM Identity Center로 중앙 집중식 신원 확인, 2) 조건부 접근 정책(디바이스 상태, 위치 기반), 3) VPC 엔드포인트로 AWS 서비스 프라이빗 접근, 4) ACM Private CA로 mTLS 서비스 간 인증, 5) Network Firewall/SG로 마이크로 세그멘테이션, 6) GuardDuty + Detective로 지속적인 이상 탐지.

A) 각 계정에서 수동으로 S3 퍼블릭 접근 차단 활성화 B) Organizations SCP로 s3:PutBucketPublicAccessBlock 거부 + AWS Config 규칙으로 탐지 + Firewall Manager로 S3 퍼블릭 접근 차단 정책 자동 적용 C) S3 버킷 정책에서 모든 퍼블릭 접근 거부 D) VPC 엔드포인트로 S3 접근 제한

정답: B

설명: 다층적 접근: 1) SCP로 멤버 계정에서 퍼블릭 접근 차단 설정 제거 금지(예방적), 2) AWS Config 규칙 s3-bucket-level-public-access-prohibited로 비규격 버킷 탐지(탐지적), 3) AWS Firewall Manager의 S3 정책으로 모든 계정의 신규/기존 버킷에 퍼블릭 접근 차단 자동 적용(자동화). 이 세 가지를 조합하면 예방-탐지-자동화를 모두 충족합니다.