AWS Certified Cloud Practitioner (CLF-C02) #5 Domain 2-2 컴플라이언스: 거버넌스, AWS Artifact, GDPR/HIPAA

9 분 소요

#4에서 책임 공유 모델과 IAM 기초를 잡았습니다. 이번 글은 도메인 2의 후반부, 즉 컴플라이언스 인증, 거버넌스,감사 도구, 보안 운영 도구, 데이터 암호화입니다.

이 영역은 어휘가 많아 어렵게 느껴지지만, 시험 출제 패턴은 정형적입니다. 각 도구가 어떤 종류의 질문에 답하는가를 짝지어 외워 두면 충분합니다.

AWS의 컴플라이언스 인증 #

AWS는 전 세계 다양한 컴플라이언스 표준의 인증을 받고 있습니다. 인증의 존재 자체가 AWS가 그 표준의 통제 항목을 충족한다는 증거입니다.

자주 출제되는 인증 #

인증의미어떤 워크로드에
SOC 1 / 2 / 3회계,운영 통제 감사 (미국 AICPA)일반 기업 감사 자료
ISO 27001 / 27017 / 27018정보 보안 관리 체계 (국제 표준)일반 보안 인증
PCI DSS신용카드 결제 정보 처리결제 시스템
HIPAA미국 의료 정보 보호의료 데이터
GDPREU 개인정보 보호 규정EU 사용자 데이터
FedRAMP미국 정부 클라우드 표준미국 정부 워크로드
FISMA미국 연방 정보 보안 관리법미국 정부 기관
ITAR미국 국방,우주 관련 데이터방산,우주 워크로드 (GovCloud)

컴플라이언스에서 자주 헷갈리는 두 가지 #

1) “AWS가 인증받았다 = 내 워크로드도 자동으로 컴플라이언스를 충족한다"는 함정

이것은 책임 공유 모델과 같은 맥락입니다. AWS는 인프라 수준에서 인증을 받았지만 그 위에 올린 고객 워크로드는 별도로 그 인증의 요구사항을 충족시켜야 합니다.

예: HIPAA의 경우 AWS는 HIPAA Eligible Service 목록을 제공하지만, 그 서비스 위에 의료 데이터를 다루는 앱을 올린다면 고객도 BAA(Business Associate Addendum) 체결과 적절한 보안 통제를 적용해야 합니다.

2) GDPR과 데이터 주권

GDPR은 EU 시민의 개인정보를 다루는 모든 조직에 적용됩니다. 한국 회사가 EU 사용자를 받는다면 GDPR 대상입니다. AWS는 GDPR 준수에 필요한 도구(DPA, 리전 선택, 암호화)를 제공하지만, 데이터를 EU 리전(예: eu-west-1)에 두는 결정은 고객의 책임입니다.

AWS Artifact #

AWS의 컴플라이언스 보고서와 협약서를 다운로드할 수 있는 자체 서비스입니다. 무료입니다.

기능설명
ReportsSOC,ISO,PCI 등 인증 보고서 다운로드
AgreementsBAA(HIPAA용),DPA(GDPR용) 같은 협약서 체결

시험 출제 패턴 #

“AWS의 SOC 2 인증 보고서를 어디서 받는가?” → AWS Artifact.

“HIPAA 준수를 위해 AWS와 BAA를 체결하려면?” → AWS Artifact에서 BAA 체결.

Artifact의 한계 #

Artifact는 AWS의 인증 문서만 제공합니다. 고객 자신의 워크로드 컴플라이언스 점검은 별도 도구(Audit Manager 등)로 합니다.

거버넌스와 감사 도구 #

AWS CloudTrail: API 호출 감사 로그 #

누가, 언제, 어떤 API를 호출했는가를 기록합니다.

특성
기본 활성화기본적으로 90일 이벤트 이력은 콘솔에서 조회 가능
영구 보관S3 버킷에 저장하는 trail 별도 설정
글로벌 ↔ 리전글로벌 서비스(IAM,STS)는 글로벌, 리전 서비스는 각 리전
통합CloudWatch Logs로 보내 알람 가능

시험에서 CloudTrail 시나리오:

  • “지난주에 S3 버킷의 ACL을 누가 바꿨는지 추적” → CloudTrail
  • “보안 사고 후 누가 어떤 자원을 만들었는지 감사” → CloudTrail

AWS Config: 리소스 구성 변경 추적 #

자원의 설정이 시간에 따라 어떻게 변했는가를 기록합니다.

특성
추적 단위각 AWS 자원의 구성(설정)과 그 변경 이력
규칙 평가“S3 버킷에 퍼블릭 액세스 차단이 켜져 있어야 한다” 같은 규칙으로 자동 평가
비준수 자원 식별Config Rules에 위배되는 자원을 자동으로 표시

CloudTrail vs Config 헷갈림 방지:

  • CloudTrail. 누가 무엇을 호출했는가 (액션의 로그)
  • Config. 자원의 현재 상태와 변경 이력

시험에서 “S3 버킷이 항상 퍼블릭 액세스 차단이 켜져 있는지 자동 확인” → AWS Config.

“누가 보안 그룹을 수정했는지 찾기” → CloudTrail.

AWS Organizations와 SCP #

여러 계정을 묶어 관리하는 서비스입니다.

기능설명
Consolidated Billing여러 계정의 청구를 통합
OU (Organizational Unit)계정을 트리 구조로 묶음
SCP (Service Control Policy)OU/계정에 권한 상한선 설정

SCP의 작동: 어떤 OU에 “EC2를 만들 수 없다"는 SCP를 적용하면, 그 OU 안의 모든 계정은 IAM에서 EC2 권한이 있어도 실제로는 만들 수 없습니다. SCP는 **상한선(가드레일)**으로 동작합니다.

시험에서:

  • “여러 계정의 청구를 한 곳에서 보려면?” → AWS Organizations (Consolidated Billing)
  • “개발자 계정에서 특정 리전을 사용하지 못하게 막으려면?” → SCP

AWS Control Tower #

Organizations 위에 올라간 거버넌스 자동화 서비스입니다. 멀티 계정 환경의 셋업을 자동화하고 베스트 프랙티스를 강제합니다.

시험 출제는 드물지만 “랜딩 존(Landing Zone)을 빠르게 셋업하려면?” 같은 보기에 등장합니다.

보안 운영 도구 #

Amazon GuardDuty: 위협 탐지 #

CloudTrail,VPC Flow Log,DNS Log를 분석해 악성 활동을 자동 탐지하는 서비스입니다.

  • 의심스러운 API 호출 (예: 비정상적인 위치에서의 root 로그인)
  • 알려진 악성 IP와의 통신
  • 가상화폐 채굴 같은 패턴

별도 에이전트 설치 불필요. 켜기만 하면 됩니다.

Amazon Inspector: 취약점 스캔 #

EC2 인스턴스,컨테이너 이미지,Lambda 함수의 알려진 보안 취약점(CVE)을 스캔합니다.

  • “이 EC2의 OS에 패치되지 않은 취약점이 있는가?”
  • “이 컨테이너 이미지에 알려진 CVE가 있는가?”

Amazon Macie: 민감 데이터 식별 #

S3에 저장된 데이터에서 민감 정보(PII,신용카드 번호,의료 정보 등)를 식별합니다.

  • 머신러닝 기반으로 민감 데이터 자동 분류
  • 우발적 노출 탐지 (예: 퍼블릭 버킷에 PII가 있는지)

AWS Security Hub: 통합 보안 대시보드 #

GuardDuty,Inspector,Macie 등 여러 보안 서비스의 결과를 한 대시보드에 통합합니다.

AWS Shield: DDoS 방어 #

종류설명
Shield Standard기본 제공, 무료. 일반적인 L3/L4 DDoS 방어
Shield Advanced유료 ($3,000/월). 더 정교한 방어 + DDoS 대응 팀

AWS WAF: 웹 애플리케이션 방화벽 #

HTTP/HTTPS 요청을 규칙에 따라 필터링합니다. SQL Injection,XSS 같은 L7 공격 방어.

보안 도구 헷갈림 방지 #

시험 보기에 이 도구들이 동시에 등장하면 다음 기준으로 가릅니다:

“무엇을 알고 싶은가?”도구
의심스러운 활동 탐지GuardDuty
OS,앱 취약점 스캔Inspector
S3의 민감 데이터 자동 분류Macie
여러 보안 결과 통합Security Hub
DDoS 방어Shield
웹 공격 방어 (SQL Injection 등)WAF
API 호출 감사 로그CloudTrail
자원 구성 변경 이력Config

데이터 암호화 #

두 가지 암호화의 쓰임 #

종류의미예시
Encryption at rest저장 중 암호화S3 객체 암호화, EBS 볼륨 암호화
Encryption in transit전송 중 암호화HTTPS/TLS, VPN

대부분의 AWS 서비스는 두 가지 모두를 지원합니다.

AWS KMS (Key Management Service) #

암호화 키를 관리하는 중앙 서비스입니다.

특성
키 종류AWS managed key / Customer managed key / AWS owned key
통합S3,EBS,RDS,DynamoDB 등 70개 이상 서비스가 KMS와 통합
회전Customer managed key는 자동 회전(연 1회) 설정 가능
감사키 사용은 CloudTrail에 기록

시험에서 KMS 시나리오:

  • “S3 객체를 암호화하려면?” → SSE-KMS (S3 Server-Side Encryption with KMS)
  • “EBS 볼륨을 암호화하려면?” → KMS 키 사용
  • “암호화 키 회전을 자동화하려면?” → KMS 자동 회전 활성화

AWS CloudHSM #

**전용 하드웨어 보안 모듈(HSM)**을 제공하는 서비스입니다. KMS와 비교:

항목KMSCloudHSM
관리AWS 관리형고객이 단독 사용하는 전용 HSM
인증서FIPS 140-2 Level 3FIPS 140-2 Level 3
사용 사례일반적인 모든 암호화강한 규제 (PCI DSS Level 1,금융 등)
비용키 1개당 $1/월 + 사용 호출시간당 $1.6

대부분은 KMS가 충분합니다. CloudHSM은 “전용 HSM이 규제 요구사항"인 특수 케이스만.

AWS Secrets Manager vs Parameter Store #

비밀 자격증명을 다루는 두 서비스입니다.

항목Secrets ManagerSystems Manager Parameter Store
자동 회전지원 (RDS,Redshift 등)미지원
가격$0.40/secret/월 + API 호출표준 파라미터는 무료
사용 사례DB 비밀번호 자동 회전일반 설정값과 비밀

보안 시나리오 매핑 정리 #

시험에서 자주 등장하는 시나리오와 정답 매핑입니다.

시나리오정답
의심스러운 활동을 자동 탐지하고 싶다GuardDuty
S3에서 민감 데이터를 자동 분류하고 싶다Macie
EC2 인스턴스의 OS 취약점을 스캔하고 싶다Inspector
누가 어떤 API를 호출했는지 추적하고 싶다CloudTrail
S3 버킷이 항상 퍼블릭 차단인지 자동 확인Config
여러 계정의 청구 통합Organizations (Consolidated Billing)
특정 OU에서 특정 리전 사용 금지SCP
SOC 2 인증 보고서 다운로드Artifact
HIPAA BAA 체결Artifact
DDoS 방어 (기본)Shield Standard
웹 공격 (SQL Injection,XSS) 방어WAF
암호화 키 관리KMS
전용 HSM 필요 (강한 규제)CloudHSM
DB 비밀번호 자동 회전Secrets Manager

자주 만나는 함정 #

1) “AWS가 인증받았으니 내 워크로드도 자동 컴플라이언스” #

함정입니다. 인프라 수준의 인증일 뿐, 고객 워크로드는 별도로 충족해야 합니다.

2) CloudTrail과 Config 혼동 #

  • CloudTrail = 누가 호출했는가
  • Config = 자원이 어떤 상태인가

3) Shield Standard를 별도 신청 #

Shield Standard는 기본 제공,무료입니다. 별도 신청하지 않습니다.

4) GuardDuty와 Inspector 혼동 #

  • GuardDuty = 활동 탐지 (의심스러운 API,트래픽)
  • Inspector = 취약점 스캔 (OS,앱의 CVE)

5) Macie를 일반 데이터 분류 도구로 오해 #

Macie는 S3 한정의 민감 데이터 분류 도구입니다. RDS,DynamoDB 같은 다른 데이터스토어에는 적용되지 않습니다.

6) KMS vs CloudHSM의 선택을 비용으로 #

KMS가 충분하지 않은 경우는 규제 요구사항입니다. 비용은 부차적.

7) AWS Artifact가 워크로드 점검 도구 #

Artifact는 AWS 인증 문서 제공입니다. 고객 워크로드 점검은 Audit Manager 등 다른 도구.

정리 #

이번 글에서 잡은 것:

  • 컴플라이언스 인증. SOC / ISO / PCI DSS / HIPAA / GDPR / FedRAMP / FISMA / ITAR
  • 인증의 의미. AWS 인프라의 통제 항목 충족. 고객 워크로드는 별도
  • AWS Artifact. 인증 보고서와 협약서(BAA,DPA) 다운로드
  • 거버넌스,감사 도구. CloudTrail(API 호출) / Config(자원 구성) / Organizations(계정 묶음) / SCP(가드레일)
  • 보안 운영 도구. GuardDuty(위협) / Inspector(취약점) / Macie(민감 데이터) / Security Hub(통합) / Shield(DDoS) / WAF(웹)
  • 데이터 암호화. At rest와 In transit. KMS가 표준, 강한 규제만 CloudHSM
  • Secrets Manager는 자동 회전, Parameter Store는 일반 설정
  • 함정. 인증의 적용 범위 / CloudTrail과 Config 혼동 / Shield Standard 별도 신청 / GuardDuty와 Inspector 혼동 / Macie의 S3 한정 / Artifact의 한계

다음: Domain 3 핵심 서비스 #

도메인 2가 끝났습니다. 다음은 시험에서 가장 표면적이 넓은 **Domain 3, Cloud Technology and Services (34%)**로 들어갑니다.

#6 Domain 3-1 핵심 서비스: 컴퓨팅과 스토리지에서는 컴퓨팅(EC2,Lambda,ECS,Fargate,Elastic Beanstalk,Lightsail)과 스토리지(S3 storage classes,EBS,EFS,FSx,Storage Gateway,Glacier)를 정리하겠습니다. 외울 양은 많지만 워크로드 → 서비스 매핑으로 압축됩니다.

X