AWS Certified CloudOps Engineer - Associate (SOA-C03) #15 풀스케일 객관식 모의고사: 50문항 + 해설
#1부터 #14까지의 정리가 머릿속에 들어 있는지 확인하는 단계입니다. 실제 시험과 같은 도메인 비중으로 50문항을 풉니다.
풀이 방법 #
- 90~100분 안에 풀어 봅니다(실제 시험은 65문항/130분이지만 본 모의고사는 50문항 기준).
- 한 문항씩 즉시 해설을 보지 말고 끝까지 푼 뒤 채점합니다.
- 36문항(72%) 이상 맞히면 안전 합격권입니다.
- 부족한 도메인이 보이면 해당 글로 돌아가 다시 정리합니다.
도메인 분포 #
| 도메인 | 비중 | 문항 수 |
|---|---|---|
| Domain 1. 모니터링,로깅,복구,성능 | 22% | 11 |
| Domain 2. 신뢰성과 비즈니스 연속성 | 22% | 11 |
| Domain 3. 배포,프로비저닝,자동화 | 22% | 11 |
| Domain 4. 네트워킹과 콘텐츠 전송 | 18% | 9 |
| Domain 5. 보안과 컴플라이언스 | 16% | 8 |
Domain 1: 모니터링,로깅,복구,성능 #
Q1. EC2 인스턴스의 메모리 사용률에 알람을 걸려고 하는데 지표 목록에 보이지 않는다. 적절한 조치는?
해설
EC2 표준 지표에는 OS 내부의 메모리,디스크 사용률이 없습니다. CloudWatch Agent를 설치해 사용자 지정 지표로 게시해야 알람을 걸 수 있습니다.
Q2. 일시적 CPU 스파이크 때문에 알람이 너무 자주 울린다. 진짜 지속 부하일 때만 울리게 하려면?
해설
최근 N개 기간 중 M개가 위반할 때만 알람으로 가도록 Datapoints to Alarm을 조정하면, 일시적 스파이크를 걸러낼 수 있습니다.
Q3. 애플리케이션 로그에 ERROR가 일정 횟수 이상 나오면 알림을 받고 싶다. 표준 구현은?
해설
CloudWatch 알람은 지표에만 걸립니다. 로그에서 패턴을 지표 필터로 지표화한 뒤 그 지표에 알람을 거는 것이 표준입니다.
Q4. 장애가 발생한 시간대의 대량 로그를 사후에 빠르게 분석해 원인을 찾고 싶다. 적절한 도구는?
해설
Logs Insights는 대량 로그를 SQL 유사 쿼리로 즉석 분석하는 트러블슈팅 도구입니다. 여러 로그 그룹을 한 번에 쿼리할 수 있습니다.
Q5. 단일 인스턴스가 하드웨어(시스템 상태 점검) 실패로 멈췄을 때, 같은 인스턴스를 자동으로 되살리고 싶다. 적절한 것은?
해설
EC2 자동 복구는 같은 인스턴스를 새 하드웨어에서 ID,IP를 유지한 채 복구합니다. 상태를 인스턴스에 들고 있어 교체가 곤란할 때 적합합니다.
Q6. 여러 단일 알람의 알림이 너무 많아 운영자가 둔감해졌다. CPU도 높고 지연 시간도 높을 때만 알리고 싶다. 적절한 것은?
해설
복합 알람은 여러 알람의 상태를 논리식(AND,OR,NOT)으로 묶습니다. AND로 묶으면 두 조건이 동시에 만족할 때만 알림이 가 소음이 줄어듭니다.
Q7. 주간과 야간 트래픽 차이가 커서 고정 임계값으로는 알람이 부정확하다. 적절한 것은?
해설
이상 탐지는 과거 패턴을 학습해 정상 범위 밴드를 만들고 그 밖을 벗어나면 알립니다. 시간대별 변동이 큰 워크로드에 적합합니다.
Q8. 종료되는 ASG 인스턴스의 로컬 로그를 잃지 않고 수집한 뒤 종료시키고 싶다. 적절한 것은?
해설
종료 수명 주기 훅은 인스턴스를 종료 직전 대기 상태로 잡아, 로그 수집,연결 정리 같은 마무리를 끝낸 뒤 종료하도록 합니다.
Q9. gp2 EBS 볼륨이 용량은 충분한데 IOPS 한계로 느리다. 비용 효율적으로 성능을 올리려면?
해설
gp3는 용량과 무관하게 IOPS,처리량을 독립적으로 설정할 수 있어, 용량은 충분한데 IOPS가 부족한 상황의 비용 효율적 답입니다.
Q10. 비용은 줄이되 성능은 유지하도록, 과대,과소 프로비저닝된 인스턴스를 식별하고 싶다. 적절한 것은?
해설
Compute Optimizer는 과거 지표를 분석해 인스턴스,ASG,EBS,Lambda의 과대,과소 프로비저닝을 권고합니다. 비용과 성능을 함께 라이트사이징하는 도구입니다.
Q11. Lambda 함수를 매일 정해진 시각에 실행해야 한다. 적절한 트리거는?
해설
Lambda 자체에는 스케줄러가 없습니다. 주기 실행은 EventBridge 일정 규칙(cron,rate)으로 트리거합니다.
Domain 2: 신뢰성과 비즈니스 연속성 #
Q12. RDS 인스턴스를 삭제한 뒤에도 백업을 영구히 보관해야 한다. 적절한 것은?
해설
자동 백업은 인스턴스 삭제 시 함께 사라지고 최대 35일만 보존됩니다. 영구 보존이 필요하면 직접 지울 때까지 남는 수동 스냅샷을 떠야 합니다.
Q13. 수십 개 계정과 여러 서비스의 백업을 하나의 표준 정책으로 강제하고 규정 준수를 증명해야 한다. 적절한 것은?
해설
AWS Backup은 여러 서비스의 백업을 백업 플랜으로 중앙 관리하고, 태그로 대상을 일괄 지정하며, Organizations와 연동해 전 계정에 표준을 강제하고 보고합니다.
Q14. 백업을 수정,삭제 불가(WORM)로 만들어 랜섬웨어와 실수 삭제에 대비해야 한다. 적절한 것은?
해설
Backup Vault Lock은 백업을 수정,삭제할 수 없도록 잠가 컴플라이언스 요구와 랜섬웨어,실수 삭제에 대비합니다.
Q15. 비용을 최소화해야 하고 복구가 수 시간 걸려도 괜찮은 DR 전략은?
해설
Backup & Restore는 평시 비용이 가장 낮고 RTO가 가장 깁니다. 복구가 느려도 되고 비용이 최우선이면 적합합니다.
Q16. RTO가 수 분으로 짧아야 하고 비용은 어느 정도 감수할 수 있다. 적절한 DR 전략은?
해설
Warm Standby는 축소판 전체 환경을 항상 켜두어 장애 시 빠르게 확장합니다. RTO 수 분 요구에 맞습니다.
Q17. 무상태(stateless) 웹 서버 그룹에서 비정상 인스턴스를 자동으로 버리고 새것으로 교체하려면?
해설
Auto Scaling은 헬스체크 실패 인스턴스를 종료하고 새 인스턴스로 교체합니다. 애플리케이션 장애까지 잡으려면 헬스체크를 ELB 기준으로 둡니다.
Q18. 배포할 때마다 일부 사용자 요청이 끊긴다. 인스턴스를 대상 그룹에서 뺄 때 진행 중인 요청을 끝까지 처리하게 하려면?
해설
등록 해제 지연(연결 드레이닝)은 인스턴스를 빼거나 종료할 때 진행 중인 요청을 정해진 시간 동안 마저 처리하도록 합니다.
Q19. 매일 오전 9시에 트래픽이 예측 가능하게 급증한다. 가장 적절한 스케일링은?
해설
패턴이 예측 가능한 급증은 Scheduled Scaling으로 시각에 맞춰 미리 용량을 확보하는 것이 적합합니다. 예측 불가한 부하에는 Target Tracking을 병행합니다.
Q20. 리전 전체 장애 시 다른 리전으로 자동 전환해야 한다. 적절한 것은?
해설
엔드포인트,리전 수준의 자동 전환은 Route 53 Failover 라우팅과 헬스체크로 구성합니다. DNS TTL을 낮춰 전환을 빠르게 합니다.
Q21. EBS 스냅샷에 대한 설명으로 옳은 것은?
해설
EBS 스냅샷은 증분입니다. 첫 스냅샷만 전체이고 이후는 변경 블록만 저장하며, 타 리전,계정 복사와 암호화가 가능합니다.
Q22. 대부분의 일반 워크로드에서 AZ 장애에 대비하는 1차 가용성 구성은?
해설
어소시에이트 수준의 기본 가용성 답은 Multi-AZ입니다. 멀티리전은 리전 장애,규제 같은 명시적 요구가 있을 때 선택합니다.
Domain 3: 배포,프로비저닝,자동화 #
Q23. 프로덕션 CloudFormation 스택을 갱신하기 전에 어떤 자원이 교체,변경되는지 미리 확인하고 싶다. 적절한 것은?
해설
변경 집합은 스택 갱신을 적용하기 전에 무엇이 바뀌고 어떤 자원이 교체(replacement)되는지 미리 보여 줍니다.
Q24. IaC로 만든 환경인데 누군가 콘솔에서 직접 자원을 바꾼 것 같다. 어긋난 자원을 찾으려면?
해설
드리프트 탐지는 템플릿과 실제 자원을 비교해 어긋난 자원과 속성을 보고합니다. 수동 변경을 찾는 도구입니다.
Q25. CloudFormation 스택을 삭제해도 데이터베이스와 S3 버킷은 남겨야 한다. 적절한 것은?
해설
DeletionPolicy를 Retain으로 두면 스택을 삭제해도 그 자원(DB,S3 등)은 보존됩니다.
Q26. 조직의 모든 계정에 표준 보안 설정을 일관 배포하고 새 계정에도 자동 적용하려면?
해설
StackSets는 하나의 템플릿을 여러 계정,리전에 일괄 배포,관리하며, Organizations와 연동해 새 계정에도 자동으로 표준 스택을 적용합니다.
Q27. 인스턴스가 Systems Manager 관리 대상 목록에 나타나지 않는다. 1차로 확인할 것은?
해설
SSM은 SSM Agent와 인스턴스 IAM Role을 전제로 합니다. 관리 목록 누락은 거의 항상 IAM Role 누락(또는 엔드포인트,네트워크) 문제입니다.
Q28. DB 비밀번호를 정해진 주기로 자동 교체해야 한다. 적절한 것은?
해설
비밀의 내장 자동 교체는 Secrets Manager의 기능입니다. Parameter Store는 자동 교체가 없어 직접 갱신해야 합니다.
Q29. 프라이빗 서브넷의 인스턴스에 SSH 키와 인바운드 포트 없이 접속하고 모든 세션을 감사 기록으로 남기려면?
해설
Session Manager는 인바운드 포트나 SSH 키 없이 셸 접속을 제공하고, 모든 세션을 CloudTrail,S3,CloudWatch Logs에 기록합니다.
Q30. 수백 대 인스턴스에 매월 보안 패치를 정해진 시간에 자동 적용하고 미적용 인스턴스를 보고해야 한다. 적절한 것은?
해설
Patch Manager는 패치 베이스라인,패치 그룹,정비 창으로 패치를 자동 일괄 적용하고 규정 준수(미적용) 보고를 제공합니다.
Q31. K8s 표준이 꼭 필요하지 않고, 인스턴스 관리 부담을 최소화하며 컨테이너를 운영하려면?
해설
특별히 Kubernetes가 필요하지 않고 운영 부담을 최소화하려면 ECS와 서버리스 컴퓨팅인 Fargate 조합이 적합합니다.
Q32. 컨테이너 이미지의 알려진 취약점(CVE)을 배포 전에 탐지하려면?
해설
ECR 이미지 스캔은 푸시 시 또는 상시로 이미지의 취약점을 스캔합니다. 인스턴스,이미지 OS 취약점 전반은 Inspector도 다룹니다.
Q33. ECS 태스크의 컨테이너가 AWS API를 호출해야 한다. 최소 권한을 부여하는 정석은?
해설
여러 태스크가 인스턴스를 공유하므로 인스턴스 역할은 과한 권한이 됩니다. 태스크 역할로 태스크 단위 최소 권한을 부여하는 것이 정석입니다.
Domain 4: 네트워킹과 콘텐츠 전송 #
Q34. 보안 그룹 인바운드는 올바르게 열었는데도 응답이 돌아오지 않는다. 서브넷 단위에서 확인할 것은?
해설
NACL은 stateless라 응답 트래픽도 규칙이 필요합니다. 인바운드를 허용해도 아웃바운드 임시 포트가 막혀 있으면 응답이 돌아가지 못합니다.
Q35. 프라이빗 인스턴스가 S3에 접근하는데 NAT Gateway 데이터 처리 비용을 줄이고 싶다. 적절한 것은?
해설
S3,DynamoDB는 Gateway 엔드포인트로 라우팅 테이블에 사설 경로를 추가합니다. 무료이며 트래픽이 인터넷,NAT를 거치지 않아 비용을 줄입니다.
Q36. 인터넷,NAT가 없는 프라이빗 인스턴스에서 SSM과 ECR에 사설로 연결해야 한다. 적절한 것은?
해설
SSM,ECR 같은 대부분의 서비스는 Interface 엔드포인트(PrivateLink)로 ENI에 사설 IP를 부여해 인터넷 없이 연결합니다.
Q37. VPC A-B, B-C가 각각 피어링돼 있다. A에서 C로 통신이 안 되는 이유는?
해설
VPC 피어링은 전이되지 않습니다. A-C는 직접 피어링하거나, 다수 VPC라면 Transit Gateway로 허브 연결합니다.
Q38. 트래픽이 어디서 거부되는지 보안 그룹,NACL 중 무엇 때문인지 확인하고 싶다. 적절한 것은?
해설
VPC Flow Logs는 ENI,서브넷,VPC의 트래픽을 ACCEPT,REJECT와 함께 기록해, 어디서 트래픽이 막혔는지 단서를 줍니다.
Q39. 두 자원 사이의 연결 가능 여부를 실제 트래픽 없이 사전에 검증하려면?
해설
Reachability Analyzer는 출발지와 목적지를 지정하면 경로상 무엇이 연결을 막는지 정적으로 분석합니다.
Q40. 루트 도메인(example.com)을 Application Load Balancer에 연결하려고 한다. 적절한 레코드는?
해설
zone apex(루트 도메인)에는 CNAME을 쓸 수 없습니다. Route 53 Alias 레코드로 ALB에 연결합니다. Alias는 무료이고 대상 IP 변경을 자동 추적합니다.
Q41. CloudFront 배포에 ACM 인증서를 붙이려는데 목록에 인증서가 보이지 않는다. 원인은?
해설
CloudFront용 ACM 인증서는 반드시 us-east-1(버지니아 북부)에서 발급해야 합니다. 다른 리전 인증서는 CloudFront에 붙일 수 없습니다.
Q42. S3를 오리진으로 쓰면서 사용자가 S3 URL로 직접 접근하는 것을 막고 CloudFront만 거치게 하려면?
해설
OAC를 쓰면 S3 버킷을 비공개로 두고 CloudFront에만 읽기를 허용해, 사용자의 S3 직접 접근을 차단합니다.
Domain 5: 보안과 컴플라이언스 #
Q43. 모든 IAM 사용자의 액세스 키 사용 여부와 MFA 설정 상태를 한 번에 점검하려면?
해설
자격 증명 보고서(Credential Report)는 모든 IAM 사용자의 비밀번호,액세스 키,MFA 상태를 CSV로 일괄 제공합니다.
Q44. S3 버킷,IAM 역할,KMS 키가 계정 밖(외부)에 의도치 않게 공유됐는지 탐지하려면?
해설
IAM Access Analyzer는 리소스 정책을 분석해 외부에 공유된 자원을 식별합니다. 의도치 않은 노출을 찾는 도구입니다.
Q45. 조직의 모든 계정에서 특정 리전 사용을 금지하는 가드레일을 두려면?
해설
SCP는 OU,계정에 적용하는 권한 상한입니다. 전 계정에 리전,서비스 사용 금지 같은 가드레일을 두는 데 적합합니다. 단, 권한을 부여하지는 않습니다.
Q46. “누가 이 리소스를 삭제했는가"를 추적해야 한다. 적절한 것은?
해설
CloudTrail은 누가 언제 어떤 API를 호출했는지 기록하는 감사 로그입니다. 행위 추적의 기본 도구입니다.
Q47. “암호화되지 않은 EBS 볼륨"을 지속적으로 평가하고 위반 시 자동으로 교정하려면?
해설
Config는 자원 구성을 규칙으로 평가하고, 위반을 SSM Automation으로 자동 교정합니다. 상태(구성 준수)를 보는 도구입니다.
Q48. 계정 내 악성 IP와의 통신, 비정상 API 호출 같은 위협을 로그 설정 없이 자동 탐지하려면?
해설
GuardDuty는 CloudTrail,VPC Flow Logs,DNS 로그를 직접 켜지 않고도 분석해 위협을 탐지합니다. 능동적 위협 탐지가 역할입니다.
Q49. GuardDuty,Inspector,Config 등 여러 보안 서비스 결과를 한 화면에 모으고 모범 사례 준수 점수를 보려면?
해설
Security Hub는 여러 보안 서비스의 결과를 통합,표준화하고 CIS,AWS 모범 사례 기준 점수를 제공합니다. 직접 탐지하지는 않습니다.
Q50. 암호화 키를 직접 통제하고 다른 계정과 공유해야 한다. 적절한 것은?
해설
고객 관리형 키(CMK)는 정책,교체,삭제를 사용자가 통제하고, 키 정책으로 교차 계정 공유를 구성합니다.
채점과 마무리 #
50문항 중 36문항(72%) 이상이면 안전 합격권입니다. 도메인별로 묶어 틀린 문항을 보면 약한 영역이 드러납니다.
시리즈를 마치며 #
#1에서 시험 구조를 정리하고, 다섯 도메인을 따라 모니터링,신뢰성,배포 자동화,네트워킹,보안을 운영 관점으로 훑은 뒤, #14의 시험 팁과 이 모의고사로 마무리했습니다. SOA-C03이 묻는 것은 결국 하나입니다. 이미 도는 환경에서 증상을 보고 가장 적절한 운영 조치를 고르는 것입니다. 제약 키워드를 읽고, 비슷한 서비스를 키워드로 구분하며, 자동화로 수동 개입을 없애는 감각이 손에 익으면 합격선은 충분히 넘깁니다.
시험장에서 좋은 결과 있기를 바랍니다. 실무 트랙과 다른 자격증 트랙으로도 이어가면 AWS 운영 역량이 한층 단단해집니다.