본문 바로가기
AWS/SAA 준비

AWS SAA 합격으로 가는 길 #181

by Pacloud 2026. 6. 5.
반응형

안녕하세요! 넥스트클라우드의 테크니컬 트레이너 김서윤입니다. 🌱

오늘은 보안과 네트워크 관련 세 문제를 함께 풀어볼게요. 가볍게 시작해 봅시다!

 

문제는  가지 단계를 거치며 풀어가겠습니다.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 시작합니다.


문제1

한 회사는 AWS를 사용하여 공개 전자상거래 웹사이트를 호스팅합니다. 웹 사이트는 인터넷 트래픽에 AWS Global Accelerator 액셀러레이터를 사용합니다. Global Accelerator 액셀러레이터는 Auto Scaling 그룹의 진입점인 ALB(Application Load Balancer)로 트래픽을 전달합니다. 회사는 최근 웹사이트에서 DDoS 공격을 확인했습니다. 회사에는 향후 공격을 완화할 수 있는 솔루션이 필요합니다.

 

최소한의 구현 노력으로 이러한 요구 사항을 충족할 수 있는 솔루션은 무엇입니까?

 

선택지

A. 속도 기반 규칙을 사용하여 Global Accelerator Accelerator가 트래픽을 차단하도록 AWS WAF 웹 ACL을 구성합니다.

B. VPC 네트워크 ACL을 업데이트하여 공격을 차단하기 위해 ALB 지표를 읽도록 AWS Lambda 함수를 구성합니다.

C. 속도 기반 규칙을 사용하여 트래픽을 차단하도록 ALB에서 AWS WAF 웹 ACL을 구성합니다.

D. Global Accelerator 액셀러레이터 앞에 Amazon CloudFront 배포를 구성합니다.


풀이

AWS WAF는 Global Accelerator에 직접 연결할 수 없고 ALB·CloudFront·API Gateway 등에만 연결 가능합니다. 트래픽 흐름이 Global Accelerator → ALB이므로 ALB에 WAF 웹 ACL을 적용하고 속도 기반 규칙으로 DDoS성 요청을 차단하는 것이 가장 적은 구현 노력으로 요구사항을 충족합니다.

 

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

더보기

1.  문제의 요구사항 분석하기

  • DDoS 공격을 완화할 수 있는 트래픽 필터링 메커니즘 필요.
  • 기존 Global Accelerator → ALB 아키텍처를 유지하며 보호 적용.
  • 최소한의 구현 노력으로 추가 보호 계층 구성.

2. 관련 AWS 서비스 생각하기

  • AWS WAF : SQL 인젝션, XSS, 속도 기반 공격 등 L7 웹 공격을 차단하는 웹 애플리케이션 방화벽입니다. 웹 ACL을 ALB, CloudFront, API Gateway, AppSync, Cognito User Pool, App Runner에 연결할 수 있으며 Global Accelerator에는 직접 연결되지 않습니다.
  • AWS Global Accelerator : AWS 글로벌 네트워크를 통해 트래픽을 가속하고 2개의 정적 Anycast IP를 제공하는 서비스로, 백엔드 리전 리소스(ALB, NLB, EC2 등)로 트래픽을 라우팅합니다.
  • AWS WAF 속도 기반 규칙(Rate-based rule) : 5분 동안 특정 IP가 보낸 요청 수를 카운트해 임계치를 초과하면 자동 차단하는 규칙으로, DDoS·브루트포스 완화에 활용됩니다.

3. 선택지 분석하기

A. 속도 기반 규칙을 사용하여 Global Accelerator Accelerator가 트래픽을 차단하도록 AWS WAF 웹 ACL을 구성합니다.

→ Global Accelerator에는 AWS WAF를 직접 연결할 수 없어 구성 불가합니다.

 

B. VPC 네트워크 ACL을 업데이트하여 공격을 차단하기 위해 ALB 지표를 읽도록 AWS Lambda 함수를 구성합니다.

→ 사용자 정의 Lambda·NACL 자동화는 구현 부담이 매우 큽니다.

 

C. 속도 기반 규칙을 사용하여 트래픽을 차단하도록 ALB에서 AWS WAF 웹 ACL을 구성합니다.

→ ALB에 WAF 웹 ACL을 연결해 속도 기반 차단으로 DDoS 완화가 가능합니다.

 

D. Global Accelerator 액셀러레이터 앞에 Amazon CloudFront 배포를 구성합니다.

→ Global Accelerator 앞단 CloudFront 배치는 일반적 아키텍처가 아닙니다.


 

이어서 다음 문제입니다.


문제2

소셜 미디어 회사에는 데이터를 수집하고 처리하는 워크로드가 있습니다. 워크로드는 온프레미스 NFS 스토리지에 데이터를 저장합니다. 데이터 저장소는 회사의 확장되는 비즈니스 요구 사항을 충족할 만큼 빠르게 확장할 수 없습니다. 회사는 현재 데이터 스토어를 AWS로 마이그레이션하려고 합니다.

 

이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇입니까?

 

선택지

A. AWS Storage Gateway 볼륨 게이트웨이를 설정합니다. Amazon S3 수명 주기 정책을 사용하여 데이터를 적절한 스토리지 클래스로 전환합니다.

B. AWS Storage Gateway Amazon S3 파일 게이트웨이를 설정합니다. Amazon S3 수명 주기 정책을 사용하여 데이터를 적절한 스토리지 클래스로 전환합니다.

C. Amazon Elastic File System(Amazon EFS) Standard-Infrequent Access(Standard-IA) 스토리지 클래스를 사용합니다. 빈번하지 않은 액세스 수명주기 정책을 활성화합니다.

D. Amazon Elastic File System(Amazon EFS) One Zone-Infrequent Access(One Zone-IA) 스토리지 클래스를 사용합니다. 빈번하지 않은 액세스 수명주기 정책을 활성화합니다.


풀이

온프레미스 NFS 데이터를 그대로 클라우드로 옮기면서 비용을 최소화하려면 NFS 프로토콜을 지원하는 S3 파일 게이트웨이가 적합합니다. 데이터를 S3에 객체로 저장하고 수명 주기 정책으로 액세스 빈도에 따라 저렴한 스토리지 클래스로 자동 전환하면 가장 비용 효율적입니다.

 

정답 : B

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

더보기

1.  문제의 요구사항 분석하기

  • 온프레미스 NFS 스토리지의 데이터를 AWS로 마이그레이션.
  • 확장성 제약 해소를 위해 사실상 무한한 클라우드 스토리지 활용.
  • 비용 효율성을 극대화하는 스토리지 계층 전략 적용.

2. 관련 AWS 서비스 생각하기

  • AWS Storage Gateway - Amazon S3 파일 게이트웨이 : NFS/SMB 프로토콜로 마운트할 수 있는 가상 파일 시스템을 제공하면서 백엔드에서 데이터를 Amazon S3 객체로 저장하는 하이브리드 스토리지 서비스입니다. 기존 NFS 애플리케이션 수정 없이 클라우드로 데이터를 흘려보낼 수 있습니다.
  • Amazon S3 수명 주기 정책 : 객체의 액세스 빈도와 보관 기간에 따라 Standard → Standard-IA → Glacier 등 더 저렴한 스토리지 클래스로 자동 전환하거나 만료시키는 규칙입니다.
  • Amazon EFS : AWS 내부 워크로드용 완전 관리형 NFS 파일 시스템으로, 주로 EC2·Lambda·컨테이너에서 공유 스토리지로 활용됩니다.

3. 선택지 분석하기

A. AWS Storage Gateway 볼륨 게이트웨이를 설정합니다. Amazon S3 수명 주기 정책을 사용하여 데이터를 적절한 스토리지 클래스로 전환합니다.

→ 볼륨 게이트웨이는 NFS가 아닌 iSCSI 블록 인터페이스라 부적합합니다.

 

B. AWS Storage Gateway Amazon S3 파일 게이트웨이를 설정합니다. Amazon S3 수명 주기 정책을 사용하여 데이터를 적절한 스토리지 클래스로 전환합니다.

→ NFS 호환 + S3 저장 + 수명 주기로 비용 최적화까지 충족합니다.

 

C. Amazon Elastic File System(Amazon EFS) Standard-Infrequent Access(Standard-IA) 스토리지 클래스를 사용합니다. 빈번하지 않은 액세스 수명주기 정책을 활성화합니다.

→ EFS는 AWS 내부용이며 온프레미스 NFS 데이터 이전 도구가 아닙니다.

 

D. Amazon Elastic File System(Amazon EFS) One Zone-Infrequent Access(One Zone-IA) 스토리지 클래스를 사용합니다. 빈번하지 않은 액세스 수명주기 정책을 활성화합니다.

→ 단일 AZ EFS는 가용성도 낮고 마이그레이션 도구가 아닙니다.


 

마지막 문제 살펴보겠습니다.


문제3

한 로봇 회사가 의료 수술을 위한 솔루션을 설계하고 있습니다. 로봇은 고급 센서, 카메라 및 AI 알고리즘을 사용하여 환경을 인식하고 수술을 완료합니다. 회사에는 백엔드 서비스와의 원활한 통신을 보장할 AWS 클라우드의 공용 로드 밸런서가 필요합니다. 로드 밸런서는 쿼리 문자열을 기반으로 트래픽을 다른 대상 그룹으로 라우팅할 수 있어야 합니다. 트래픽도 암호화되어야 합니다.

 

어떤 솔루션이 이러한 요구 사항을 충족합니까?

 

선택지

A. ACM(AWS Certificate Manager)에서 첨부된 인증서와 함께 Network Load Balancer를 사용하십시오. 쿼리 매개변수 기반 라우팅을 사용합니다.

B. 게이트웨이 로드 밸런서를 사용합니다. AWS Identity and Access Management(IAM)에서 생성된 인증서를 가져옵니다. 인증서를 로드 밸런서에 연결합니다. HTTP 경로 기반 라우팅을 사용합니다.

C. ACM(AWS Certificate Manager)에서 첨부된 인증서와 함께 Application Load Balancer를 사용합니다. 쿼리 매개변수 기반 라우팅을 사용합니다.

D. Network Load Balancer를 사용하십시오. AWS Identity and Access Management(IAM)에서 생성된 인증서를 가져옵니다. 인증서를 로드 밸런서에 연결합니다. 쿼리 매개변수 기반 라우팅을 사용합니다.


풀이

쿼리 문자열(매개변수) 기반 라우팅은 7계층 로드 밸런서인 Application Load Balancer(ALB)만 지원합니다. 또한 HTTPS 트래픽 암호화를 위해서는 ACM에서 발급한 SSL/TLS 인증서를 ALB 리스너에 연결해야 하므로 ALB + ACM 조합이 정답입니다.

 

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

더보기

1.  문제의 요구사항 분석하기

  • 공용(Public) 로드 밸런서를 통한 백엔드 서비스 라우팅 필요.
  • 쿼리 매개변수(쿼리 문자열) 기반으로 대상 그룹 분기.
  • 클라이언트와 로드 밸런서 간 트래픽 암호화(HTTPS).

2. 관련 AWS 서비스 생각하기

  • Application Load Balancer (ALB) : HTTP/HTTPS L7 트래픽을 처리하는 로드 밸런서로, 경로·호스트·HTTP 헤더·쿼리 문자열·소스 IP 등 다양한 조건으로 트래픽을 라우팅할 수 있습니다.
  • Network Load Balancer (NLB) : TCP/UDP L4 트래픽을 초저지연·고처리량으로 처리하는 로드 밸런서로, L7 콘텐츠 기반 라우팅(쿼리 문자열·경로 등)은 지원하지 않습니다.
  • Gateway Load Balancer (GWLB) : 방화벽·IDS/IPS 같은 가상 어플라이언스 앞단에 배치되는 L3 로드 밸런서로, 일반 웹 트래픽 분산용이 아닙니다.
  • AWS Certificate Manager (ACM) : SSL/TLS 인증서를 무료로 발급·자동 갱신해 ALB·CloudFront·API Gateway 등에 연결할 수 있게 해주는 인증서 관리 서비스입니다.

3. 선택지 분석하기

A. ACM(AWS Certificate Manager)에서 첨부된 인증서와 함께 Network Load Balancer를 사용하십시오. 쿼리 매개변수 기반 라우팅을 사용합니다.

→ NLB는 쿼리 매개변수 기반 라우팅을 지원하지 않습니다.

 

B. 게이트웨이 로드 밸런서를 사용합니다. AWS Identity and Access Management(IAM)에서 생성된 인증서를 가져옵니다. 인증서를 로드 밸런서에 연결합니다. HTTP 경로 기반 라우팅을 사용합니다.

→ GWLB는 보안 어플라이언스용이며 IAM은 인증서 발급 서비스가 아닙니다.

 

C. ACM(AWS Certificate Manager)에서 첨부된 인증서와 함께 Application Load Balancer를 사용합니다. 쿼리 매개변수 기반 라우팅을 사용합니다.

→ ALB가 쿼리 매개변수 라우팅과 ACM 기반 HTTPS를 모두 지원합니다.

 

D. Network Load Balancer를 사용하십시오. AWS Identity and Access Management(IAM)에서 생성된 인증서를 가져옵니다. 인증서를 로드 밸런서에 연결합니다. 쿼리 매개변수 기반 라우팅을 사용합니다.

→ NLB는 쿼리 매개변수 라우팅 미지원이고 IAM은 인증서 발급 서비스가 아닙니다.


 

오늘도 함께 풀어주셔서 감사합니다. 다음 포스팅에서 또 만나요!

'AWS > SAA 준비' 카테고리의 다른 글

AWS SAA 합격으로 가는 길 #183  (0) 2026.06.12
AWS SAA 합격으로 가는 길 #182  (0) 2026.06.08
AWS SAA 합격으로 가는 길 #180  (0) 2026.06.01
AWS SAA 합격으로 가는 길 #179  (0) 2026.05.29
AWS SAA 합격으로 가는 길 #178  (0) 2026.05.22