home
SAA-C03

[security] 보안 서비스 구분

GuardDuty, Macie, Inspector, Config… 이름은 비슷한데 역할이 헷갈리는 보안 서비스들을 한 번에 정리합니다.

이 노트는 헷갈리기 쉬운 보안 서비스들을 한눈에 구분하기 위한 요약이다. SAA-C03은 이들을 서로의 오답 선택지로 자주 섞어 낸다 — 각각의 한 줄 정의와 결정적 키워드만 확실하면 대부분 풀린다. 개별 심화는 각 노트 참조: waf · shield · guardduty · macie · config

한 줄 정의 (가장 중요)

서비스한 줄 정의답하는 질문
GuardDuty로그 분석 기반 위협 탐지"지금 공격/침해가 일어나나?"
MacieS3민감정보(PII) 발견·분류"내 S3에 개인정보가 노출됐나?"
Inspector워크로드 취약점(CVE) 스캔"내 EC2/컨테이너/Lambda에 알려진 취약점이 있나?"
Config리소스 구성 준수·변경 기록"설정이 규칙을 지키나? 언제 바뀌었나?"
CloudTrailAPI 호출 감사 로그"누가 언제 무슨 API를 호출했나?"
Security Hub여러 서비스 발견 집계·표준화"전체 보안 상태를 한눈에"
Detective발견의 근본 원인 조사(그래프)"왜/어떻게 일어났나?"

결정적 키워드 (문제에 이 단어가 나오면)

키워드서비스
malicious activity / compromised / crypto mining / brute force / bad IPGuardDuty
sensitive data / PII / credit card·SSN / S3 data classificationMacie
vulnerability / CVE / patch / software flawInspector
configuration / compliance / config change / remediate settingConfig
who called / which API / audit user actionCloudTrail
aggregate findings / single security dashboard / compliance standardSecurity Hub
investigate / root cause / visualize relationshipsDetective

축으로 이해하기 — 무엇을 대상으로 무엇을 보나

데이터(S3) 내용   → 민감정보?        → Macie
워크로드(EC2 등)  → 취약점(CVE)?     → Inspector
계정·네트워크 로그 → 위협 활동?       → GuardDuty
리소스 설정       → 규정 준수?        → Config
API 행위         → 누가 했나?        → CloudTrail
------------------------------------------------
위 발견들        → 모아서 보기        → Security Hub
발견의 원인       → 파고들어 조사      → Detective

자주 나오는 "짝" (함께 등장하는 조합)

조합의미
Config + CloudTrail"설정이 위반됐다"(Config) + "누가 바꿨나"(CloudTrail)
GuardDuty + EventBridge + Lambda위협 탐지 → 자동 격리·차단
Macie + EventBridge노출된 민감정보 자동 대응
여러 서비스 + Security HubGuardDuty·Macie·Inspector·Config 발견을 집계
Organizations 위임 관리자GuardDuty·Macie·Config를 전 계정 일괄 활성화

탐지 vs 방어 (성격 구분)

  • 탐지(detection)만: GuardDuty·Macie·Inspector·Config는 발견/평가가 본업 → 실제 차단·교정은 EventBridge+Lambda 또는 SSM Automation으로 이어붙인다.
  • 직접 방어(prevention): WAF(L7 웹 공격 차단), Shield(DDoS 완화), SG/NACL/Network Firewall(트래픽 차단)은 트래픽을 직접 막는다.

큰 그림: **막는 것(WAF·Shield·방화벽)**과 **찾는 것(GuardDuty·Macie·Inspector·Config)**을 나누고, 찾은 것을 **모으고(Security Hub) 조사(Detective)**한다.

Inspector 최소 정리 (별도 노트 없이 이 정도면 충분)

  • EC2·컨테이너 이미지(ECR)·Lambda의 소프트웨어 **취약점(CVE)**과 의도치 않은 네트워크 노출을 자동·지속 스캔.
  • 에이전트(SSM Agent) 기반, 새 취약점 공개 시 자동 재평가, 위험도 점수 제공.
  • "패치 안 된 취약점 / CVE 스캔" = Inspector. (설정 준수는 Config, 위협 활동은 GuardDuty와 구분.)

Security Hub 최소 정리

  • GuardDuty·Macie·Inspector·Config 등의 발견을 표준 형식(ASFF)으로 집계하고, 보안 표준(CIS·PCI 등) 대비 점수를 대시보드로 제공.
  • 자체 탐지 엔진이 아니라 집계·상관·우선순위 계층. "여러 보안 서비스를 한 화면에" = Security Hub.

Memory Sentence

대상으로 외운다 — S3 민감정보=Macie, 워크로드 취약점(CVE)=Inspector, 로그 기반 위협=GuardDuty, 구성 준수=Config, API 감사=CloudTrail. 이들은 대부분 탐지 전용이라 대응은 EventBridge/SSM으로 잇고, 발견은 Security Hub로 집계·Detective로 조사한다. 직접 막는 건 WAF(L7)·Shield(DDoS)·방화벽이다.

References

댓글

아직 댓글이 없습니다.