본문 바로가기
AWS/SAA 준비

AWS SAA 합격으로 가는 길 #184

by Pacloud 2026. 6. 15.
반응형

안녕하세요! 넥스트클라우드의 테크니컬 트레이너 김서윤입니다.

월요일의 시작, 운영·보안·네트워크 주제로 세 문제 가볍게 풀어볼게요!

 

문제는  가지 단계를 거치며 풀어가겠습니다.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 시작합니다.


문제1

한 회사는 수백 대의 온프레미스 가상 머신(VM)을 Amazon EC2 인스턴스로 마이그레이션했습니다. 인스턴스는 여러 Linux 배포판과 함께 다양한 Windows Server 버전을 실행합니다. 회사는 운영 체제의 인벤토리 및 업데이트를 자동화하는 솔루션을 원합니다. 또한 회사는 정기적인 월별 검토를 위해 각 인스턴스의 일반적인 취약점에 대한 요약을 필요로 합니다.

 

솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 권장해야 합니까?

 

선택지

A. 모든 EC2 인스턴스를 관리하도록 AWS 시스템 관리자 패치 관리자를 설정합니다. 월별 보고서를 생성하도록 AWS Security Hub를 구성합니다.

B. 모든 EC2 인스턴스를 관리하도록 AWS 시스템 관리자 패치 관리자를 설정합니다. Amazon Inspector를 배포하고 월별 보고서를 구성합니다.

C. AWS Shield Advanced를 설정하고 월별 보고서를 구성합니다. AWS Config를 배포하여 EC2 인스턴스에 패치 설치를 자동화합니다.

D. 모든 EC2 인스턴스를 모니터링하려면 계정에 Amazon GuardDuty를 설정하십시오. AWS Config를 배포하여 EC2 인스턴스에 패치 설치를 자동화합니다.


풀이

OS 인벤토리·업데이트 자동화는 AWS Systems Manager Patch Manager의 주요 기능이고, EC2 인스턴스의 일반적 취약점(CVE) 스캐닝과 요약 보고는 Amazon Inspector의 핵심 기능입니다. 두 서비스를 결합하면 패치 적용과 취약점 가시성을 모두 자동화할 수 있습니다.

 

정답 : B

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

더보기

1.  문제의 요구사항 분석하기

  • 다양한 OS의 EC2 인스턴스에 대한 인벤토리·업데이트 자동화.
  • 인스턴스별 일반적 취약점(CVE) 스캐닝 및 요약 보고.
  • 월별 정기 검토를 위한 자동화된 결과 제공.

2. 관련 AWS 서비스 생각하기

  • AWS Systems Manager Patch Manager : EC2 인스턴스와 온프레미스 서버의 운영 체제 패치를 자동으로 검사·승인·배포하고 인벤토리를 수집해 주는 관리형 서비스입니다.
  • Amazon Inspector : EC2 인스턴스, 컨테이너, Lambda 함수를 자동으로 스캔해 CVE 기반 취약점과 네트워크 노출을 탐지하고 점수와 함께 보고하는 취약점 관리 서비스입니다.
  • AWS Security Hub : 여러 보안 서비스의 결과를 통합 표시하는 대시보드 서비스로, 자체적으로 OS 패치나 취약점 스캔을 수행하지는 않습니다.
  • Amazon GuardDuty : 머신러닝 기반 위협 탐지 서비스로 네트워크 이벤트·계정 활동을 분석하지만 OS 취약점 스캔 도구는 아닙니다.

3. 선택지 분석하기

A. 모든 EC2 인스턴스를 관리하도록 AWS 시스템 관리자 패치 관리자를 설정합니다. 월별 보고서를 생성하도록 AWS Security Hub를 구성합니다.

→ Security Hub는 결과 집계용이며 직접 취약점 스캔을 수행하지 않습니다.

 

B. 모든 EC2 인스턴스를 관리하도록 AWS 시스템 관리자 패치 관리자를 설정합니다. Amazon Inspector를 배포하고 월별 보고서를 구성합니다.

→ Patch Manager로 패치, Inspector로 취약점 스캔을 함께 자동화해 요구사항을 충족합니다.

 

C. AWS Shield Advanced를 설정하고 월별 보고서를 구성합니다. AWS Config를 배포하여 EC2 인스턴스에 패치 설치를 자동화합니다.

→ Shield는 DDoS 방어, Config는 구성 모니터링이라 OS 패치·취약점 스캔과 무관합니다.

 

D. 모든 EC2 인스턴스를 모니터링하려면 계정에 Amazon GuardDuty를 설정하십시오. AWS Config를 배포하여 EC2 인스턴스에 패치 설치를 자동화합니다.

→ GuardDuty는 위협 탐지 서비스로 OS 취약점 스캔 도구가 아닙니다.


 

이어서 다음 문제입니다.


문제2

솔루션 설계자는 은행에 대한 신용 카드 데이터 유효성 검사 요청을 처리하기 위해 비동기식 애플리케이션을 설계하고 있습니다. 애플리케이션은 안전해야 하며 각 요청을 한 번 이상 처리할 수 있어야 합니다.

 

이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇입니까?

 

선택지

A. AWS Lambda 이벤트 소스 매핑을 사용하십시오. Amazon Simple Queue Service(Amazon SQS) 표준 대기열을 이벤트 소스로 설정합니다. 암호화에 AWS Key Management Service(SSE-KMS)를 사용합니다. Lambda 실행 역할에 대한 kms:Decrypt 권한을 추가합니다.

B. AWS Lambda 이벤트 소스 매핑을 사용합니다. Amazon Simple Queue Service(Amazon SQS) FIFO 대기열을 이벤트 소스로 사용합니다. 암호화에 SQS 관리형 암호화 키(SSE-SQS)를 사용합니다. Lambda 함수에 대한 암호화 키 호출 권한을 추가합니다.

C. AWS Lambda 이벤트 소스 매핑을 사용합니다. Amazon Simple Queue Service(Amazon SQS) FIFO 대기열을 이벤트 소스로 설정합니다. AWS KMS 키(SSE-KMS)를 사용합니다. Lambda 실행 역할에 대한 kms:Decrypt 권한을 추가합니다.

D. AWS Lambda 이벤트 소스 매핑을 사용합니다. Amazon Simple Queue Service(Amazon SQS) 표준 대기열을 이벤트 소스로 설정합니다. 암호화에 AWS KMS 키(SSE-KMS)를 사용합니다. Lambda 함수에 대한 암호화 키 호출 권한을 추가합니다.


풀이

SQS 표준 대기열은 at-least-once(한 번 이상) 전달을 보장하면서 FIFO보다 저렴해 비용 효율적입니다. 신용카드 데이터는 SSE-KMS로 암호화하고, Lambda가 메시지를 복호화하도록 실행 역할에 kms:Decrypt 권한을 부여하는 구성이 보안과 비용을 모두 만족합니다.

 

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

더보기

1.  문제의 요구사항 분석하기

  • 비동기식 요청 처리 아키텍처 구성.
  • 각 요청 최소 한 번 이상 처리(at-least-once).
  • 신용카드 데이터의 보안(저장 시 암호화) 및 비용 효율성.

2. 관련 AWS 서비스 생각하기

  • Amazon SQS 표준 대기열 : 메시지 순서를 엄격히 보장하지 않는 대신 거의 무제한 처리량과 at-least-once 전달을 제공하는 큐로, FIFO 대기열보다 단가가 낮습니다.
  • Amazon SQS FIFO 대기열 : 메시지 순서와 정확히 한 번 처리(exactly-once)를 보장하지만 처리량 한계가 있고 비용이 더 높습니다.
  • SSE-KMS : AWS KMS 키로 SQS 메시지를 서버측 암호화하는 방식으로, 키 사용 감사·세분화된 권한 관리가 가능합니다. Lambda가 메시지를 읽을 때 KMS 키에 대한 kms:Decrypt 권한이 필요합니다.
  • AWS Lambda 이벤트 소스 매핑 : SQS 같은 이벤트 소스에서 메시지를 자동으로 가져와 Lambda 함수를 호출해 주는 기능입니다.

3. 선택지 분석하기

A. AWS Lambda 이벤트 소스 매핑을 사용하십시오. Amazon Simple Queue Service(Amazon SQS) 표준 대기열을 이벤트 소스로 설정합니다. 암호화에 AWS Key Management Service(SSE-KMS)를 사용합니다. Lambda 실행 역할에 대한 kms:Decrypt 권한을 추가합니다.

→ 표준 큐 + SSE-KMS + 올바른 IAM 권한으로 보안·비용을 모두 만족합니다.

 

B. AWS Lambda 이벤트 소스 매핑을 사용합니다. Amazon Simple Queue Service(Amazon SQS) FIFO 대기열을 이벤트 소스로 사용합니다. 암호화에 SQS 관리형 암호화 키(SSE-SQS)를 사용합니다. Lambda 함수에 대한 암호화 키 호출 권한을 추가합니다.

→ FIFO는 비용이 더 비싸고 SSE-SQS는 키 관리 제어가 약합니다.

 

C. AWS Lambda 이벤트 소스 매핑을 사용합니다. Amazon Simple Queue Service(Amazon SQS) FIFO 대기열을 이벤트 소스로 설정합니다. AWS KMS 키(SSE-KMS)를 사용합니다. Lambda 실행 역할에 대한 kms:Decrypt 권한을 추가합니다.

→ FIFO 큐는 비용이 더 비싸 비용 효율성 요건에서 밀립니다.

 

D. AWS Lambda 이벤트 소스 매핑을 사용합니다. Amazon Simple Queue Service(Amazon SQS) 표준 대기열을 이벤트 소스로 설정합니다. 암호화에 AWS KMS 키(SSE-KMS)를 사용합니다. Lambda 함수에 대한 암호화 키 호출 권한을 추가합니다.

→ 권한 부여 대상이 Lambda 함수가 아닌 실행 역할(role)이어야 합니다.


 

마지막 문제 살펴보겠습니다.


문제3

회사는 온프레미스 데이터 센터에서 디렉터리 서비스 및 DNS를 포함한 핵심 네트워크 서비스를 호스팅합니다. 데이터 센터는 AWS Direct Connect(DX)를 사용하여 AWS 클라우드에 연결됩니다. 이러한 네트워크 서비스에 대한 빠르고 비용 효율적이며 일관된 액세스가 필요한 추가 AWS 계정이 계획되어 있습니다.

 

최소한의 운영 오버헤드로 이러한 요구 사항을 충족하려면 솔루션 설계자가 무엇을 구현해야 합니까?

 

선택지

A. 각각의 새 계정에 DX 연결을 만듭니다. 네트워크 트래픽을 온프레미스 서버로 라우팅합니다.

B. 모든 필수 서비스에 대해 DX VPC에서 VPC 엔드포인트를 구성합니다. 네트워크 트래픽을 온프레미스 서버로 라우팅합니다.

C. 각각의 새 계정과 DX VPC 사이에 VPN 연결을 생성합니다. 네트워크 트래픽을 온프레미스 서버로 라우팅합니다.

D. 계정 간에 AWS Transit Gateway를 구성합니다. 전송 게이트웨이에 DX를 할당하고 네트워크 트래픽을 온프레미스 서버로 라우팅합니다.


풀이

AWS Transit Gateway는 여러 VPC와 온프레미스 네트워크를 단일 허브에서 중앙 집중식으로 연결할 수 있는 라우터 서비스입니다. DX를 Transit Gateway에 연결하면 새 계정도 VPC만 추가하면 동일한 DX를 공유해 일관된 온프레미스 액세스를 얻을 수 있어 운영 오버헤드가 가장 낮습니다.

 

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

더보기

1.  문제의 요구사항 분석하기

  • 여러 AWS 계정에서 온프레미스 디렉터리·DNS 서비스 액세스.
  • 기존 Direct Connect 회선을 공유해 비용·일관성 확보.
  • 새 계정 추가 시 운영 오버헤드 최소화.

2. 관련 AWS 서비스 생각하기

  • AWS Transit Gateway : 다수의 VPC, 온프레미스 네트워크, VPN, Direct Connect를 단일 허브에서 라우팅하는 관리형 네트워크 트랜짓 허브 서비스입니다. 계정 간 공유도 지원해 다중 계정 환경의 네트워크 통합에 사용됩니다.
  • AWS Direct Connect (DX) : 온프레미스와 AWS를 전용 회선으로 연결하는 서비스로 안정적인 대역폭과 일관된 지연 시간을 제공합니다. Transit Gateway와 결합하면 다중 VPC·다중 계정에 동일 회선을 공유할 수 있습니다.
  • VPC 엔드포인트 : S3·DynamoDB 등 AWS 서비스에 비공개로 접근하기 위한 진입점으로, 온프레미스 디렉터리·DNS 같은 사용자 정의 서비스에는 직접 사용되지 않습니다.

3. 선택지 분석하기

A. 각각의 새 계정에 DX 연결을 만듭니다. 네트워크 트래픽을 온프레미스 서버로 라우팅합니다.

→ 계정별 DX 구축은 비용·관리 부담이 매우 큽니다.

 

B. 모든 필수 서비스에 대해 DX VPC에서 VPC 엔드포인트를 구성합니다. 네트워크 트래픽을 온프레미스 서버로 라우팅합니다.

→ VPC 엔드포인트는 AWS 서비스용이며 온프레미스 디렉터리·DNS 액세스에는 사용 불가입니다.

 

C. 각각의 새 계정과 DX VPC 사이에 VPN 연결을 생성합니다. 네트워크 트래픽을 온프레미스 서버로 라우팅합니다.

→ 계정마다 VPN을 별도 구성해야 해 운영 오버헤드가 큽니다.

 

D. 계정 간에 AWS Transit Gateway를 구성합니다. 전송 게이트웨이에 DX를 할당하고 네트워크 트래픽을 온프레미스 서버로 라우팅합니다.

→ Transit Gateway에 DX를 연결해 다중 계정이 회선을 공유하므로 운영 오버헤드가 최소입니다.


 

오늘도 함께해 주셔서 감사합니다. 한 주 잘 시작해 봐요!

'AWS > SAA 준비' 카테고리의 다른 글

AWS SAA 합격으로 가는 길 #186  (0) 2026.06.22
AWS SAA 합격으로 가는 길 #185  (1) 2026.06.19
AWS SAA 합격으로 가는 길 #183  (0) 2026.06.12
AWS SAA 합격으로 가는 길 #182  (0) 2026.06.08
AWS SAA 합격으로 가는 길 #181  (0) 2026.06.05