AWS Certified Solutions Architect - Associate (SAA-C03) #16 풀스케일 객관식 모의고사: 50문항 + 해설
#1부터 #15까지의 정리가 머릿속에 들어 있는지 확인하는 단계입니다. 실제 시험과 같은 도메인 비중으로 50문항을 풉니다.
풀이 방법 #
- 90~100분 안에 풀어 봅니다(실제 시험은 65문항/130분이지만 본 모의고사는 50문항 기준).
- 한 문항씩 즉시 해설을 보지 말고 끝까지 푼 뒤 채점합니다.
- 36문항(72%) 이상 맞히면 안전 합격권입니다.
- 부족한 도메인이 보이면 해당 글로 돌아가 다시 정리합니다.
도메인 분포 #
| 도메인 | 문항 수 | 범위 |
|---|---|---|
| Domain 1: 보안 (30%) | 15 | Q1 ~ Q15 |
| Domain 2: 회복력 (26%) | 13 | Q16 ~ Q28 |
| Domain 3: 고성능 (24%) | 12 | Q29 ~ Q40 |
| Domain 4: 비용 최적화 (20%) | 10 | Q41 ~ Q50 |
Domain 1: 안전한 아키텍처 #
Q1. EC2에서 돌아가는 애플리케이션이 S3 버킷에 접근해야 한다. 가장 안전한 방법은?
해설
EC2에 IAM Role을 부여하면 임시 자격 증명이 자동 공급되어 장기 키를 저장할 필요가 없습니다. 키 저장 방식은 모두 오답입니다.
Q2. 여러 정책이 동시에 적용되는데 그중 하나에 명시적 Deny가 있다. 최종 결과는?
해설
명시적 Deny는 어떤 Allow보다 우선합니다. 하나라도 Deny가 있으면 최종 결과는 거부입니다.
Q3. B 계정의 사용자가 A 계정의 리소스를 제어해야 한다. 가장 적절한 설계는?
해설
교차 계정 접근의 정석은 Role 위임입니다. A에 Role을 만들고 신뢰 정책에 B를 넣어 B가 AssumeRole 합니다.
Q4. 특정 악성 IP 하나를 서브넷 레벨에서 차단해야 한다. 적절한 것은?
해설
보안 그룹은 허용 규칙만 가능합니다. 특정 IP 차단(Deny)은 NACL(Network ACL)로 처리합니다. 보안 그룹은 인스턴스(ENI) 단위 스테이트풀 방화벽이고, NACL은 서브넷 단위 스테이트리스 방화벽으로 Deny 규칙을 지원합니다.
Q5. 개발자에게 권한을 위임하되 그가 가질 수 있는 최대 권한을 제한하고 싶다. 적절한 것은?
해설
개별 IAM 신원의 최대 권한 상한은 Permission Boundary입니다. SCP(Service Control Policy)는 계정/OU(Organizational Unit) 단위 상한이고, 신뢰 정책은 누가 Role을 맡을 수 있는지를 정하며, 세션 토큰은 AssumeRole로 발급되는 임시 자격 증명입니다.
Q6. 조직 전체에서 어떤 계정도 특정 리전을 사용하지 못하게 막아야 한다. 적절한 것은?
해설
조직(Organizations) 차원의 권한 상한(guardrail)은 SCP(Service Control Policy)입니다. SCP는 권한을 부여하지 않고 허용 범위를 제한합니다. Permission Boundary는 조직 전체가 아니라 개별 IAM 신원 하나의 권한 상한이라 전 계정 차단에는 맞지 않습니다.
Q7. 이미 운영 중인 비암호화 RDS 인스턴스를 암호화하려 한다. 올바른 절차는?
해설
RDS 암호화는 생성 시점에만 켤 수 있습니다. 기존 인스턴스는 스냅샷 → 암호화 복사 → 복원 경로를 거칩니다.
Q8. S3 객체를 누가 언제 복호화했는지 감사할 수 있어야 한다. 적절한 암호화 방식은?
해설
SSE-KMS는 KMS(Key Management Service) 키 사용을 CloudTrail로 감사할 수 있어 “누가 복호화했는가” 추적이 가능합니다. SSE-S3는 S3가 키를 전적으로 관리해 개별 키 사용 감사 로그를 남기지 않습니다.
Q9. 규제로 키 자료를 전용 하드웨어에서 단독으로 통제해야 한다. 적절한 것은?
해설
전용(싱글 테넌트) HSM(Hardware Security Module)로 키를 완전 단독 통제해야 하면 CloudHSM입니다. KMS 관리형 키는 멀티 테넌트 환경이고, Secrets Manager,Parameter Store는 키 자료 전용 통제가 아니라 비밀,구성값 저장 서비스입니다.
Q10. private 서브넷의 인스턴스가 인터넷을 거치지 않고 S3에 접근해야 한다. 가장 비용 효율적인 방법은?
해설
S3,DynamoDB는 무료인 Gateway VPC(Virtual Private Cloud) Endpoint로 사설 접근합니다. NAT Gateway는 비용이 들고 트래픽이 인터넷을 경유합니다. Interface Endpoint는 S3에도 쓸 수 있지만 시간,데이터당 과금이라 비용 효율 면에서는 무료인 Gateway Endpoint가 정답입니다.
Q11. private 인스턴스가 SQS에 사설 경로로 접근해야 한다. 적절한 것은?
해설
S3,DynamoDB 외 서비스(SQS 등)는 Interface Endpoint(PrivateLink)로 사설 접근합니다. Gateway Endpoint는 S3,DynamoDB 두 서비스에만 쓰이고, VPC 피어링,Transit Gateway는 VPC끼리 연결하는 용도라 AWS 관리형 서비스 사설 접근과는 다릅니다.
Q12. 우리 서비스를 고객의 VPC에 VPC 피어링 없이, 공인 노출 없이 제공해야 한다. 적절한 것은?
해설
PrivateLink는 NLB(Network Load Balancer) 뒤의 서비스를 엔드포인트 서비스로 등록해 피어링 없이 특정 서비스만 사설 노출합니다. VPC 피어링은 양쪽 VPC 전체를 연결해 노출 범위가 넓고, Direct Connect는 온프레미스〜AWS 전용 회선이라 목적이 다릅니다.
Q13. 웹 애플리케이션을 SQL injection과 XSS로부터 보호해야 한다. 적절한 것은?
해설
계층 7 웹 공격(SQLi/XSS) 차단은 WAF(Web Application Firewall)입니다. CloudFront/ALB/API Gateway에 연결합니다. Shield Standard는 L3/L4 DDoS(Distributed Denial of Service) 방어이고, GuardDuty는 위협 탐지일 뿐 인라인 차단은 하지 않습니다.
Q14. 모바일 앱 사용자가 로그인 후 S3에 직접 업로드하도록 임시 AWS 자격 증명을 줘야 한다. 적절한 것은?
해설
임시 AWS 자격 증명 발급은 Identity Pool의 역할입니다. User Pool은 인증(로그인,토큰)까지입니다.
Q15. RDS 데이터베이스 자격 증명을 주기적으로 자동 교체해야 한다. 적절한 것은?
해설
자동 교체(rotation) 내장은 Secrets Manager이며 RDS와 통합됩니다. Parameter Store는 자동 교체를 기본 제공하지 않습니다.
Domain 2: 회복력 있는 아키텍처 #
Q16. HTTP 경로(
/api, /img)에 따라 다른 대상 그룹으로 라우팅해야 한다. 적절한 로드 밸런서는?해설
경로,호스트 기반 L7 라우팅은 ALB(Application Load Balancer)입니다. NLB(Network Load Balancer)는 L4라 HTTP 경로를 보지 못하고, GLB(Gateway Load Balancer)는 방화벽 등 보안 어플라이언스 앞단용입니다.
Q17. 초고성능 TCP 처리와 고정 IP가 필요하다. 적절한 로드 밸런서는?
해설
L4 초고성능,초저지연과 고정 IP(Elastic IP)는 NLB(Network Load Balancer)의 특징입니다. ALB는 고정 IP가 없고, GLB는 보안 어플라이언스용입니다.
Q18. CPU 사용률에 따라 EC2 수를 자동으로 늘리고 줄여야 한다. 적절한 것은?
해설
수요 기반 수평 증감은 ASG(Auto Scaling Group)의 Target Tracking 정책입니다. 더 큰 인스턴스로 교체하는 것은 수직 확장이라 자동 증감이 아닙니다.
Q19. 매일 오전 9시에 트래픽이 예측 가능하게 급증한다. 가장 적절한 스케일링은?
해설
시각을 알 수 있는 패턴은 Scheduled Scaling으로 미리 용량을 조정합니다. Simple Scaling은 지표가 임계치를 넘은 뒤 반응하는 사후 방식이라 예측된 급증에는 한발 늦습니다.
Q20. 인스턴스는 살아 있지만 애플리케이션이 응답하지 않는 경우를 감지해 교체해야 한다. 적절한 것은?
해설
애플리케이션 레벨(HTTP 200 등) 장애는 ELB 헬스 체크로 감지합니다. EC2 상태 체크는 인스턴스 상태만 봅니다.
Q21. 웹 계층에 최고 수준의 고가용성을 제공하려 한다. 적절한 조합은?
해설
여러 AZ 분산 + ALB + ASG의 조합이 인스턴스 장애와 AZ 장애를 모두 흡수합니다.
Q22. DR 비용을 최소화하고 복구 시간이 길어도 괜찮다. 적절한 전략은?
해설
가장 저렴하지만 복구가 가장 느린 전략은 Backup & Restore입니다. Pilot Light,Warm Standby는 일부 리소스를 상시 켜 두므로 더 빠르지만 비용이 더 듭니다.
Q23. DR에서 데이터베이스는 항상 복제해 두고, 애플리케이션 서버는 재해 시 기동하려 한다. 어떤 전략인가?
해설
핵심(DB)만 최소로 켜 두고 나머지는 재해 시 기동하는 것이 Pilot Light입니다. Warm Standby는 축소된 전체 스택을 항상 돌려 두는 점에서 더 비싸고, Backup & Restore는 상시 복제가 없습니다.
Q24. 거의 무중단(RTO/RPO ≈ 0)을 요구하고 비용은 문제되지 않는다. 적절한 전략은?
해설
두 리전이 동시에 프로덕션 트래픽을 받는 Multi-Site Active/Active가 RTO(Recovery Time Objective)/RPO(Recovery Point Objective)를 거의 0으로 만듭니다. 나머지 전략은 모두 복구에 시간이 걸려 무중단 요구를 충족하지 못합니다.
Q25. 리전 장애 시 DNS를 자동으로 다른 리전으로 전환해야 한다. 적절한 것은?
해설
헬스 체크 기반 자동 DNS 장애 전환은 Route 53 Failover 라우팅입니다.
Q26. RDS를 최근 30일 내 임의 시점으로 복구할 수 있어야 한다. 적절한 것은?
해설
RDS 자동 백업은 보존 기간(최대 35일) 내 임의 시점 복구(PITR, Point-In-Time Recovery)를 제공합니다. 수동 스냅샷은 찍은 시점으로만 복원되므로 임의 시점 복구가 불가능합니다.
Q27. EBS,RDS,DynamoDB 백업을 하나의 정책으로 중앙에서 관리하려 한다. 적절한 것은?
해설
여러 서비스의 백업을 중앙 정책으로 관리하는 서비스는 AWS Backup입니다.
Q28. 규정 준수를 위해 백업을 삭제,변경할 수 없게(불변) 보관해야 한다. 적절한 것은?
해설
백업을 WORM(Write Once Read Many, 불변)으로 잠그는 것은 Backup Vault Lock입니다. S3는 Object Lock으로 동일하게 처리합니다.
Domain 3: 고성능 아키텍처 #
Q29. 중단을 견디는 대량 배치 처리를 최저 비용으로 돌리려 한다. 적절한 구매 옵션은?
해설
중단 가능한 stateless,배치 워크로드는 최대 90% 저렴한 Spot이 적합합니다. RI(Reserved Instance)는 상시 가동 워크로드의 약정 할인이고, Dedicated Host는 라이선스,격리 요건용이라 비용 최소화 목적과 다릅니다.
Q30. 이벤트가 발생할 때만 짧게 실행되고 서버를 관리하고 싶지 않다. 적절한 것은?
해설
이벤트 기반 짧은 실행(최대 15분)에 서버 관리가 없는 선택은 Lambda입니다.
Q31. 인메모리 데이터베이스 워크로드로 메모리가 매우 많이 필요하다. 적절한 인스턴스 계열은?
해설
인메모리 DB,대용량 메모리 워크로드는 메모리 최적화 계열(R/X)입니다.
Q32. 데이터베이스 읽기 부하를 인메모리 캐시로 줄이되 복제와 영속성이 필요하다. 적절한 것은?
해설
영속성,복제,Multi-AZ가 필요한 인메모리 캐시는 Redis입니다. Memcached는 멀티스레드 단순 캐시로 복제,영속성이 없고, DAX는 DynamoDB 전용 캐시입니다.
Q33. DynamoDB 읽기 응답을 마이크로초 수준으로 낮춰야 한다. 적절한 것은?
해설
DynamoDB 전용 인메모리 캐시인 DAX(DynamoDB Accelerator)가 읽기를 마이크로초로 낮춥니다. ElastiCache는 범용 캐시라 DynamoDB와 자동 통합되지 않고 애플리케이션이 직접 캐시 로직을 다뤄야 합니다.
Q34. 전 세계 사용자에게 콘텐츠를 낮은 지연으로 전달하려 한다. 적절한 것은?
해설
콘텐츠를 엣지에 캐싱해 사용자 가까이서 전달하는 CDN(Content Delivery Network)은 CloudFront입니다. Global Accelerator는 캐싱 없이 AWS 백본으로 트래픽을 가속하는 서비스라 콘텐츠 캐시 전달과는 목적이 다릅니다.
Q35. 여러 Linux EC2가 여러 AZ에서 같은 파일을 동시에 공유해야 한다. 적절한 것은?
해설
여러 인스턴스,여러 AZ가 공유하는 Linux 파일 시스템은 EFS입니다. EBS는 단일 AZ,단일 인스턴스용입니다.
Q36. Windows 서버들이 SMB로 공유 파일 시스템을 써야 한다. 적절한 것은?
해설
Windows SMB(Server Message Block) 공유는 FSx for Windows File Server입니다. EFS는 Linux NFS(Network File System)이고, FSx for Lustre는 HPC,머신러닝용 고성능 병렬 파일 시스템입니다.
Q37. S3에 저장할 데이터의 접근 패턴을 예측할 수 없고 비용을 자동 최적화하고 싶다. 적절한 클래스는?
해설
접근 패턴을 모를 때 자동으로 계층을 옮겨 비용을 최적화하는 것은 Intelligent-Tiering입니다. One Zone-IA는 단일 AZ라 내구성이 낮고, Glacier Deep Archive는 즉시 접근이 어려워 패턴 불명 데이터에는 맞지 않습니다.
Q38. 거의 접근하지 않는 데이터를 최저 비용으로 장기 보관하며 복구에 12시간이 걸려도 된다. 적절한 클래스는?
해설
최저가 장기 보관이며 복구 시간이 길어도 되는 경우는 Glacier Deep Archive입니다. Glacier Instant Retrieval은 즉시 조회가 가능한 대신 더 비싸고, Standard-IA는 보관 단가가 훨씬 높습니다.
Q39. 관계형 데이터베이스의 읽기 부하를 분산해야 한다. 적절한 것은?
해설
읽기 확장은 읽기 복제본입니다. Multi-AZ는 고가용성용이며 standby가 읽기를 받지 않습니다.
Q40. key-value 모델로 밀리초 응답과 사실상 무제한 확장, 서버 관리 없는 DB가 필요하다. 적절한 것은?
해설
서버리스로 무제한 확장되는 NoSQL key-value DB는 DynamoDB입니다. Aurora,RDS는 관리형이지만 관계형이고, Redshift는 OLAP(Online Analytical Processing) 데이터 웨어하우스라 key-value 저지연 조회 용도가 아닙니다.
Domain 4: 비용 최적화 #
Q41. 꾸준한 워크로드인데 인스턴스 계열을 바꿀 수 있어야 하고 Fargate,Lambda도 함께 쓴다. 가장 적절한 절감 옵션은?
해설
인스턴스 계열,리전 무관하게, Fargate,Lambda까지 적용되는 유연한 약정은 Compute Savings Plans입니다. EC2 Instance Savings Plans,Standard RI(Reserved Instance)는 특정 인스턴스 계열,리전에 묶여 유연성이 낮고 Fargate,Lambda에는 적용되지 않습니다.
Q42. 전 세계 사용자에게 콘텐츠를 전달하며 오리진의 데이터 전송 비용을 줄이려 한다. 적절한 것은?
해설
CloudFront는 엣지에서 캐시 응답해 오리진 아웃바운드 전송과 부하를 줄입니다.
Q43. 지난 몇 달의 비용을 시각화,분석하고 향후 비용을 예측하려 한다. 적절한 것은?
해설
비용 시각화,분석,예측은 Cost Explorer입니다. AWS Budgets는 임계치 알림용이고, CloudWatch는 리소스 지표 모니터링이라 비용 추세 분석 도구가 아닙니다.
Q44. 월 비용이 정한 임계치를 넘으면 알림을 받고 싶다. 적절한 것은?
해설
임계치 초과 알림은 AWS Budgets입니다. Cost Explorer는 분석,예측 도구이고, CUR(Cost and Usage Report)는 상세 청구 데이터 내보내기, Compute Optimizer는 리소스 적정 크기 추천이라 알림 용도가 아닙니다.
Q45. 계정 전반에서 유휴,저활용 리소스를 찾아 비용을 줄이려 한다. 적절한 것은?
해설
비용,보안,성능,한도를 종합 점검하며 유휴 리소스를 식별하는 것은 Trusted Advisor입니다. CloudTrail은 API 호출 감사 로그, Config는 구성 변경 추적,준수 평가, Inspector는 취약점(CVE) 스캔이라 비용 절감 식별과는 다릅니다.
Q46. EC2,EBS,Lambda의 적정 크기(right-sizing) 추천을 받고 싶다. 적절한 것은?
해설
사용 지표 기반 right-sizing 추천에 특화된 도구는 Compute Optimizer입니다. Trusted Advisor도 유휴 리소스를 짚지만 ML 기반 인스턴스 적정 크기 추천은 Compute Optimizer가 전담하고, Cost Explorer는 비용 분석 도구입니다.
Q47. 여러 계정의 청구를 합쳐 볼륨 할인을 받고 하나의 청구서로 관리하려 한다. 적절한 것은?
해설
다계정 청구 통합과 볼륨 할인은 Organizations의 통합 청구(Consolidated Billing)입니다. 비용 할당 태그는 청구를 분해해 보는 용도이고, Savings Plans는 약정 할인이라 단일 청구서 통합 기능이 아닙니다.
Q48. 비용을 팀,프로젝트별로 분해해 보고 싶다. 적절한 것은?
해설
리소스에 태그를 붙여 비용을 분해하는 것은 비용 할당 태그입니다.
Q49. 재생성이 가능한 데이터를 가장 저렴하게 S3에 저장하며 단일 AZ 저장도 허용된다. 적절한 클래스는?
해설
단일 AZ(Availability Zone)로 더 저렴한 One Zone-IA는 손실 시 재생성 가능한 데이터에 적합합니다. Standard-IA는 여러 AZ에 저장돼 더 비싸고, Glacier Instant Retrieval은 자주 안 쓰는 아카이브용이라 성격이 다릅니다.
Q50. 라인 아이템 수준의 가장 상세한 청구,사용 데이터를 분석용으로 받고 싶다. 적절한 것은?
해설
가장 세밀한 청구 데이터를 S3로 내보내 Athena/QuickSight로 분석하는 것은 CUR(Cost and Usage Report)입니다. Cost Explorer는 콘솔 그래프 수준의 요약 분석이라 라인 아이템 단위의 원시 데이터는 제공하지 않습니다.
채점과 마무리 #
전체 점수
정답 0 / 0
답변 0 / 0
36문항(72%) 이상이면 안전 합격권입니다. 틀린 문항은 단순히 정답을 외우지 말고, **“제약 키워드가 무엇이었고 왜 그 보기가 최적인가”**를 #15의 기준으로 설명할 수 있을 때까지 복습하세요. 특히 비중이 큰 보안 도메인과 자주 헷갈리는 쌍(Multi-AZ vs 읽기 복제본, SG vs NACL, Gateway vs Interface Endpoint)을 마지막까지 확실히 합니다.
시리즈를 마치며 #
#1 시험 소개에서 시작해 보안(30%) → 회복력(26%) → 고성능(24%) → 비용(20%)의 네 도메인을 한 바퀴 돌고, 시험 전략과 모의고사로 마무리했습니다. SAA-C03는 단순 암기가 아니라 요구사항에 맞는 설계 선택을 묻는 시험이라는 점을 기억하면, 처음 보는 시나리오에도 흔들리지 않습니다.
합격 후 다음 단계로는 개발자 관점의 **Developer Associate(DVA-C02)**나 운영 관점의 SysOps Administrator Associate(SOA-C02) 트랙이 자연스럽게 이어집니다. 실무 감각이 더 필요하다면 AWS 실무 트랙 27편으로 돌아가 콘솔 위에서 직접 굴려 보는 것도 좋은 복습입니다. 합격을 응원합니다.