
[security] 보안 서비스 구분
GuardDuty, Macie, Inspector, Config… 이름은 비슷한데 역할이 헷갈리는 보안 서비스들을 한 번에 정리합니다.
이 노트는 헷갈리기 쉬운 보안 서비스들을 한눈에 구분하기 위한 요약이다. SAA-C03은 이들을 서로의 오답 선택지로 자주 섞어 낸다 — 각각의 한 줄 정의와 결정적 키워드만 확실하면 대부분 풀린다. 개별 심화는 각 노트 참조: waf · shield · guardduty · macie · config
한 줄 정의 (가장 중요)
| 서비스 | 한 줄 정의 | 답하는 질문 |
|---|---|---|
| GuardDuty | 로그 분석 기반 위협 탐지 | "지금 공격/침해가 일어나나?" |
| Macie | S3의 민감정보(PII) 발견·분류 | "내 S3에 개인정보가 노출됐나?" |
| Inspector | 워크로드 취약점(CVE) 스캔 | "내 EC2/컨테이너/Lambda에 알려진 취약점이 있나?" |
| Config | 리소스 구성 준수·변경 기록 | "설정이 규칙을 지키나? 언제 바뀌었나?" |
| CloudTrail | API 호출 감사 로그 | "누가 언제 무슨 API를 호출했나?" |
| Security Hub | 여러 서비스 발견 집계·표준화 | "전체 보안 상태를 한눈에" |
| Detective | 발견의 근본 원인 조사(그래프) | "왜/어떻게 일어났나?" |
결정적 키워드 (문제에 이 단어가 나오면)
| 키워드 | 서비스 |
|---|---|
| malicious activity / compromised / crypto mining / brute force / bad IP | GuardDuty |
| sensitive data / PII / credit card·SSN / S3 data classification | Macie |
| vulnerability / CVE / patch / software flaw | Inspector |
| configuration / compliance / config change / remediate setting | Config |
| who called / which API / audit user action | CloudTrail |
| aggregate findings / single security dashboard / compliance standard | Security Hub |
| investigate / root cause / visualize relationships | Detective |
축으로 이해하기 — 무엇을 대상으로 무엇을 보나
데이터(S3) 내용 → 민감정보? → Macie
워크로드(EC2 등) → 취약점(CVE)? → Inspector
계정·네트워크 로그 → 위협 활동? → GuardDuty
리소스 설정 → 규정 준수? → Config
API 행위 → 누가 했나? → CloudTrail
------------------------------------------------
위 발견들 → 모아서 보기 → Security Hub
발견의 원인 → 파고들어 조사 → Detective
자주 나오는 "짝" (함께 등장하는 조합)
| 조합 | 의미 |
|---|---|
| Config + CloudTrail | "설정이 위반됐다"(Config) + "누가 바꿨나"(CloudTrail) |
| GuardDuty + EventBridge + Lambda | 위협 탐지 → 자동 격리·차단 |
| Macie + EventBridge | 노출된 민감정보 자동 대응 |
| 여러 서비스 + Security Hub | GuardDuty·Macie·Inspector·Config 발견을 집계 |
| Organizations 위임 관리자 | GuardDuty·Macie·Config를 전 계정 일괄 활성화 |
탐지 vs 방어 (성격 구분)
- 탐지(detection)만: GuardDuty·Macie·Inspector·Config는 발견/평가가 본업 → 실제 차단·교정은 EventBridge+Lambda 또는 SSM Automation으로 이어붙인다.
- 직접 방어(prevention): WAF(L7 웹 공격 차단), Shield(DDoS 완화), SG/NACL/Network Firewall(트래픽 차단)은 트래픽을 직접 막는다.
큰 그림: **막는 것(WAF·Shield·방화벽)**과 **찾는 것(GuardDuty·Macie·Inspector·Config)**을 나누고, 찾은 것을 **모으고(Security Hub) 조사(Detective)**한다.
Inspector 최소 정리 (별도 노트 없이 이 정도면 충분)
- EC2·컨테이너 이미지(ECR)·Lambda의 소프트웨어 **취약점(CVE)**과 의도치 않은 네트워크 노출을 자동·지속 스캔.
- 에이전트(SSM Agent) 기반, 새 취약점 공개 시 자동 재평가, 위험도 점수 제공.
- "패치 안 된 취약점 / CVE 스캔" = Inspector. (설정 준수는 Config, 위협 활동은 GuardDuty와 구분.)
Security Hub 최소 정리
- GuardDuty·Macie·Inspector·Config 등의 발견을 표준 형식(ASFF)으로 집계하고, 보안 표준(CIS·PCI 등) 대비 점수를 대시보드로 제공.
- 자체 탐지 엔진이 아니라 집계·상관·우선순위 계층. "여러 보안 서비스를 한 화면에" = Security Hub.
Memory Sentence
대상으로 외운다 — S3 민감정보=Macie, 워크로드 취약점(CVE)=Inspector, 로그 기반 위협=GuardDuty, 구성 준수=Config, API 감사=CloudTrail. 이들은 대부분 탐지 전용이라 대응은 EventBridge/SSM으로 잇고, 발견은 Security Hub로 집계·Detective로 조사한다. 직접 막는 건 WAF(L7)·Shield(DDoS)·방화벽이다.
References
댓글
아직 댓글이 없습니다.