AWS SAA 합격으로 가는 길 #167

안녕하세요! 넥스트클라우드의 테크니컬 트레이너 김유림입니다. 😊

오늘은 조금 어려운 문제들로 구성되었는데요. 어려운 만큼 중요하기도 한 문제들이니 꼭꼭 이해하시고 넘어가시기 바랍니다.

 

문제는 세 가지 단계를 거치며 풀어가겠습니다.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 시작합니다.

---

문제1

한 회사는 AWS 클라우드에서 실험적인 워크로드를 실행할 계획이며 클라우드 지출에 예산을 할당했습니다. 회사의 CFO는 각 부서의 지출 책임을 추적하는 데 관심이 있으며 지출이 예산의 60%에 도달하면 알림을 받기를 원합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

 

선택지

A. AWS 리소스의 비용 할당 태그를 사용하여 소유자에게 레이블을 지정합니다. AWS 예산에서 사용 예산을 생성합니다. 지출이 예산의 60%를 초과할 때 알림을 받도록 경고 임계값을 설 정합니다.

B. AWS Cost Explorer 예측을 사용하여 리소스 소유자를 결정합니다. 지출이 예산의 60%를 초과하면 AWS 비용 이상 탐지를 활용하여 경고 알림을 생성합니다.

C. AWS 리소스에 대한 비용 할당 태그를 사용하여 리소스 소유자에게 레이블을 지정합니다. 지출이 예산의 60%를 초과할 때 경고 알림을 생성하려면 AWS Trusted Advisor 내에서 AWS Support API를 사용하십시오.

D. AWS Cost Explorer 예측을 사용하여 리소스 소유자를 결정합니다. AWS 예산에서 사용 예산을 설정하고 지출이 예산의 60%를 초과할 때 알림을 받도록 경고 임계값을 설정합니다.

---

풀이

이 문제는 부서별 지출 책임 추적을 위해 비용 할당 태그로 소유자를 레이블링해야 하며, 예산 60% 도달 시 알림이 필요합니다. AWS Budgets 서비스는 예산 임계값 설정 및 알림 기능을 제공하고 있어 요구사항을 충족할 수 있습니다.

 

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

• 각 부서별로 지출 책임을 추적해야 함
• 예산을 설정하고 실제 지출이 예산의 60%에 도달하면 알림을 받아야 함

2. 관련 AWS 서비스 생각하기

 

• AWS Budgets: 월별/분기별/연간 단위로 비용, 사용량, 예약 인스턴스, Saving Plans 예산을 직접 설정하고 관리하는 서비스입니다. 예산의 특정 비율(예: 60%) 초과 시 이메일 또는 SNS 알림을 발송할 수 있습니다. 예산 초과 시 IAM 정책 적용이나 EC2/RDS 인스턴스 중지 등 자동화된 대응 액션을 실행할 수 있습니다.
• AWS Cost Explorer: 과거 AWS 비용 및 사용량 데이터를 시각화하고 분석하는 도구로, 지출 패턴 파악에 특화되어 있습니다.이 서비스는 태그가 이미 붙어있는 데이터를 필터링하여 보여줄 뿐, 태그강 ㅓㅂㅅ는 리소스의 소유자를 자동으로 판별하거나 할당하는 기능을 제공하지는 않습니다.
• AWS Anomaly Detection: 머신러닝 알고리즘을 활용하여 AWS 비용에서 비정상적인 지출 패턴을 자동으로 감지하는 서비스입니다. 이 서비스는 AWS Budgets의 고정 예산 임계값 알림과 달리 과거 패턴 대비 통계적으로 비정상적인 지출을 동적으로 감지하는데 특화되어 있습니다.

 

3. 선택지 분석하기

A. AWS 리소스의 비용 할당 태그를 사용하여 소유자에게 레이블을 지정합니다. AWS 예산에서 사용 예산을 생성합니다. 지출이 예산의 60%를 초과할 때 알림을 받도록 경고 임계값을 설 정합니다.

→ 태그를 통해 부서를 식별하고, Budgets를 통해 알림을 설정하는 AWS의 권장 비용 관리 방식입니다.

 

B. AWS Cost Explorer 예측을 사용하여 리소스 소유자를 결정합니다. 지출이 예산의 60%를 초과하면 AWS 비용 이상 탐지를 활용하여 경고 알림을 생성합니다.

→ Cost Explorer 예측은 미래 비용을 추산하는 것이지 리소스 소유자를 알려주지 않습니다. 또한, 비용 이상 탐지는 평소와 다른 급격한 지출 패턴을 감지하는 용도이기에 정해진 예산 알림용으로 사용할 수 없습니다.

 

C. AWS 리소스에 대한 비용 할당 태그를 사용하여 리소스 소유자에게 레이블을 지정합니다. 지출이 예산의 60%를 초과할 때 경고 알림을 생성하려면 AWS Trusted Advisor 내에서 AWS Support API를 사용하십시오.

→ Trusted Advisor는 비용 최적화 추천을 해주지만, 사용자 지정 예산 알림을 보내는 도구는 아닙니다.

 

D. AWS Cost Explorer 예측을 사용하여 리소스 소유자를 결정합니다. AWS 예산에서 사용 예산을 설정하고 지출이 예산의 60%를 초과할 때 알림을 받도록 경고 임계값을 설정합니다.

→ AWS Cost Explorer는 리소스의 소유자를 식별하거나 결정하는 기능을 지원하지 않으므로, 부서별 비용 책임을 명확히 구분해야 하는 요구사항에는 적합하지 않습니다.

 

---

 

이어서 다음 문제입니다.

---

문제2

보안 요구 사항을 충족하려면 회사는 Amazon RDS MySQL DB 인스턴스와 통신하는 동안 전송 중인 모든 애플리케이션 데이터를 암호화해야 합니다. 최근 보안 감사에서는 AWS Key Management Service(AWS KMS)를 사용하여 저장 데이터 암호화가 활성화되어 있지만 전송 중인 데이터는 활성화되지 않은 것으로 나타났습니다.

솔루션 설계자는 보안 요구 사항을 충족하기 위해 무엇을 해야 합니까?

 

선택지

A. 데이터베이스에서 IAM 데이터베이스 인증을 활성화합니다.

B. 자체 서명된 인증서를 제공합니다. RDS 인스턴스에 대한 모든 연결에 인증서를 사용하십시오.

C. RDS 인스턴스의 스냅샷을 찍습니다. 암호화가 활성화된 새 인스턴스로 스냅샷을 복원합니다.

D. AWS에서 제공하는 루트 인증서를 다운로드합니다. RDS 인스턴스에 대한 모든 연결에 인증서를 제공하십시오.

---

풀이

애플리케이션과 Amazon RDS 간의 네트워크 통신을 암호화(전송 중 데이터 암호화)하려면 SSL/TLS 연결을 구성해야 합니다. RDS는 AWS에서 관리하는 서버 인증서를 사용하므로, 클라이언트 애플리케이션이 이 서버를 신뢰하고 안전하게 통신하려면 AWS가 제공하는 루트 인증서를 다운로드하여 애플리케이션의 연결 설정에 포함해야 합니다.

 

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

• 전송 중인 데이터(Data in Transit)를 반드시 암호화해야 함
• 현재 저장 데이터 암호화(Data at Rest)는 이미 되어 있으나, 네트워크 구간 암호화가 누락됨
• 애플리케이션과 RDS 간의 보안 통신 채널(SSL/TLS) 구성 필요

2. 관련 AWS 서비스 생각하기

• Amazon RDS(Relational Database Service) : AWS에서 제공하는 완전 관리형 관계형 데이터베이스 서비스입니다. MySQL, PostgreSQL, MariaDB, Oracle, SQL Server 등 다양한 데이터베이스 엔진을 지원하며, 하드웨어 프로비저닝, 패치 적용, 백업 등의 운영 작업을 자동으로 처리합니다. 보안 측면에서는 저장 데이터 암호화, 전송 중 암호화, IAM 기반 접근 제어를 지원합니다.
• AWS KMS(Key Management Service) : AWS 리소스에서 사용하는 암호화 키를 중앙에서 생성, 저장, 관리할 수 있는 완전 관리형 서비스입니다. S3, RDS, EBS 등 다양한 AWS 서비스와 통합되어 저장 데이터 암호화에 활용됩니다. 키 정책을 통해 세밀한 접근 제어가 가능하며 CloudTrail과 연동하여 키 사용 이력을 감사할 수 있습니다.
• AWS IAM(Identity and Access Management) : AWS 리소스에 대한 접근 권한을 중앙에서 관리하는 서비스입니다. 사용자, 그룹, 역할(Role), 정책(Policy)을 기반으로 누가 어떤 리소스에 어떤 작업을 수행할 수 있는지를 세밀하게 제어합니다. 최소 권한 원칙을 적용하여 필요한 권한만 부여할 수 있으며, MFA 설정 및 액세스 분석 등 다양한 보안 강화 기능을 제공합니다.

3. 선택지 분석하기

A. 데이터베이스에서 IAM 데이터베이스 인증을 활성화합니다.

→ IAM 인증은 비밀번호 대신 자격 증명을 사용하여 로그인하는 접근 제어 방식이므로 전송 중 데이터를 암호화하는 것과 무관합니다.

 

B. 자체 서명된 인증서를 제공합니다. RDS 인스턴스에 대한 모든 연결에 인증서를 사용하십시오.

→ Amazon RDS는 완전 관리형 서비스이므로 사용자가 임의로 생성한 자체 서명 인증서를 데이터베이스 서버 측에 직접 설치하여 사용할 수 없습니다.

 

C. RDS 인스턴스의 스냅샷을 찍습니다. 암호화가 활성화된 새 인스턴스로 스냅샷을 복원합니다.

→ 스냅샷 복원을 통한 설정은 디스크에 데이터를 보호하는 저장 데이터 암호화(Data at Rest)를 활성화할 때 사용하는 방법이므로 전송 구간 암호화와는 무관합니다.

 

D. AWS에서 제공하는 루트 인증서를 다운로드합니다. RDS 인스턴스에 대한 모든 연결에 인증서를 제공하십시오.

→ 클라이언트 애플리케이션이 AWS RDS 서버의 신원을 확인하고 안전한 SSL 암호화 통신 채널을 확립하기 위해 필요한 가장 정확한 표준 절차입니다.

---

 

마지막 문제 살펴보겠습니다.

---

문제3

기업은 고객에게 데이터에 대한 안전한 액세스를 제공해야 합니다. 회사는 고객 데이터를 처리하고 결과를 Amazon S3 버킷에 저장합니다.

모든 데이터에는 강력한 규정과 보안 요구 사항이 적용됩니다. 저장된 데이터는 암호화되어야 합니다. 각 고객은 AWS 계정의 데이터에만 액세스할 수 있어야 합니다. 회사 직원은 데이터에 접근할 수 없어야 합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

 

선택지

A. 각 고객에 대해 AWS Certificate Manager(ACM) 인증서를 프로비저닝합니다. 클라이언트 측 데이터를 암호화합니다. 개인 인증서 정책에서 고객이 제공하는 IAM 역할을 제외한 모든 보안 주체의 인증서에 대한 액세스를 거부합니다.

B. 각 고객에 대해 별도의 AWS Key Management Service(AWS KMS) 키를 제공합니다. 서버측 데이터를 암호화합니다. S3 버킷 정책에서 고객이 제공하는 IAM 역할을 제외한 모든 보안 주체에 대한 데이터 암호 해독을 거부합니다.

C. 각 고객에 대해 별도의 AWS Key Management Service(AWS KMS) 키를 프로비저닝합니다. 서버측 데이터를 암호화합니다. 각 KMS 키 정책에서 고객이 제공하는 IAM 역할을 제외한 모든 보안 주체에 대한 데이터 암호 해독을 거부합니다.

D. 각 고객에 대해 AWS Certificate Manager(ACM) 인증서를 프로비저닝합니다. 클라이언트 측 데이터를 암호화합니다. 공인 인증서 정책에서 고객이 제공하는 IAM 역할을 제외한 모든 보안 주체의 인증서에 대한 액세스를 거부합니다.

 

---

풀이

이 문제는 각 고객별 독립적인 암호화 키 관리와 회사 직원 접근 차단이 핵심입니다. AWS KMS 키 정책을 활용하여 고객이 지정한 역할 외에는 누구도 데이터를 해독할 수 없게 설정하면 저장소인 S3에 접근할 수 있는 관리자라 하더라도 실제 데이터 내용은 절대 볼 수 없는 완벽한 격리 상태를 달성하게 됩니다.

 

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

• S3에 저장되는 데이터는 반드시 암호화
• 각 고객은 자신의 데이터에만 접근할 수 있어야 함
• 회사 직원은 고객 데이터에 접근할 수 없어야 함

2. 관련 AWS 서비스 생각하기

• AWS KMS(Key Management Service) : AWS 리소스에서 사용하는 암호화 키를 중앙에서 생성, 저장, 관리할 수 있는 완전 관리형 서비스입니다. S3, RDS, EBS 등 다양한 AWS 서비스와 통합되어 저장 데이터 암호화에 활용됩니다. 키 정책(Key Policy)을 통해 특정 IAM 역할이나 사용자만 키를 사용할 수 있도록 세밀하게 접근을 제어할 수 있습니다.
• Amazon S3(Simple Storage Service) : AWS에서 제공하는 확장 가능한 객체 스토리지 서비스입니다. 버킷 정책(Bucket Policy)과 ACL을 통해 데이터 접근 권한을 제어할 수 있으며, KMS 키와 연동한 서버 측 암호화(SSE-KMS)를 지원합니다. 단, 버킷 정책은 S3 객체에 대한 접근을 제어하지만 KMS 키 자체에 대한 복호화 권한은 제어하지 않습니다.
• AWS Certificate Manager(ACM) : SSL/TLS 인증서를 프로비저닝, 관리, 배포하는 서비스입니다. 주로 웹 애플리케이션의 전송 중 암호화(HTTPS)에 활용되며, CloudFront, ALB, API Gateway 등과 통합됩니다. S3에 저장되는 데이터의 암호화가 아닌 네트워크 전송 구간 보호를 목적으로 합니다.

3. 선택지 분석하기

A. 각 고객에 대해 AWS Certificate Manager(ACM) 인증서를 프로비저닝합니다. 클라이언트 측 데이터를 암호화합니다. 개인 인증서 정책에서 고객이 제공하는 IAM 역할을 제외한 모든 보안 주체의 인증서에 대한 액세스를 거부합니다.

→ ACM은 전송 중 암호화 목적의 서비스로 S3 저장 데이터 암호화에 적합하지 않습니다.

 

B. 각 고객에 대해 별도의 AWS Key Management Service(AWS KMS) 키를 제공합니다. 서버측 데이터를 암호화합니다. S3 버킷 정책에서 고객이 제공하는 IAM 역할을 제외한 모든 보안 주체에 대한 데이터 암호 해독을 거부합니다.

→ S3 버킷 정책은 객체 접근을 제어하지만 KMS 키의 복호화 권한을 직접 제어하지 않기 떄문에 완전한 접근 차단이 어렵습니다.

 

C. 각 고객에 대해 별도의 AWS Key Management Service(AWS KMS) 키를 프로비저닝합니다. 서버측 데이터를 암호화합니다. 각 KMS 키 정책에서 고객이 제공하는 IAM 역할을 제외한 모든 보안 주체에 대한 데이터 암호 해독을 거부합니다.

→ 고객별 KMS 키를 생성하고 키 정책으로 복호화 권한을 제어하여 모든 요구사항을 충족합니다.

 

D. 각 고객에 대해 AWS Certificate Manager(ACM) 인증서를 프로비저닝합니다. 클라이언트 측 데이터를 암호화합니다. 공인 인증서 정책에서 고객이 제공하는 IAM 역할을 제외한 모든 보안 주체의 인증서에 대한 액세스를 거부합니다.

→ ACM은 저장 데이터 암호화에 적합하지 않으며, 공인 인증서 정책으로는 데이터 접근을 제어할 수 없습니다.

 

---

 

오늘은 유독 어려운 인증 문제와 보완 이슈를 다뤄봤습니다.

AI를 더 일상적으로 활용하면서, 클라우드와 AI의 중요도가 높아졌습니다.

오늘 배운 것이 어려웠을지라도 잊지 말고 학습해주세요!

그럼 저는 금요일에 뵙겠습니다 😊