[AWS] AWS Cloud Practitional_모의테스트3 오답(2)

질문 31

다음 중 Amazon EFS Standard-Infrequent Access(EFS Standard-IA) 스토리지 클래스에 가장 적합한 사용 사례는 무엇입니까?

1. 단일 AWS 가용성 영역(AZ)에 데이터 저장
2. 데이터 액세스를 위해 1초 미만의 대기 시간이 필요한 워크로드를 위한 개체 스토리지
3. 고가용성 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 부팅 볼륨으로 사용
4. 감사 요구 사항을 충족하기 위해 접근 가능한 위치에 파일 저장 

해설

스토리지 클래스	특징	적합성
EFS Standard-IA	덜 자주 액세스하는 데이터에 적합하며, 리전 내 여러 AZ에 데이터를 저장하여 높은 가용성을 제공합니다.	가장 적합 (자주 접근하지 않지만 규정 준수를 위해 신속하게 접근해야 하는 데이터에 적합)
EFS One Zone-IA	단일 AZ에 데이터를 저장하는, 보기 1에 해당하는 클래스입니다.	오답 (Standard-IA가 아님)

핵심: Standard-IA는 **접근 빈도가 낮으면서도 높은 가용성(Multi-AZ)**이 요구되는 데이터에 사용됩니다. 감사 데이터는 이 조건에 부합합니다. (참고: EC2 부팅 볼륨은 EBS만 사용 가능합니다.)

 

 

 

질문 32

금융 서비스 기업이 직원을 위해 다중 요소 인증(MFA)을 활성화할 계획입니다. 이동의 편의성을 위해 다중 요소 인증(MFA)을 구현하기 위해 물리적 장치를 사용하지 않는 것을 선호합니다. 이 사용 사례에 가장 적합한 옵션은 다음 중 무엇입니까?

*

0/1

• 가상 다중 인증 요소(MFA) 장치
• 소프트 토큰 다중 인증(MFA) 장치
• 하드웨어 다중 인증(MFA) 장치
• U2F 보안 키

해설 

MFA 유형	장치/방식	물리적 장치 사용 여부
가상 MFA	스마트폰 앱 (예: Google Authenticator)	사용 안 함 (소프트웨어 토큰 방식)
하드웨어 MFA/U2F	별도의 물리적 토큰 또는 키	사용함

핵심: 가상 MFA는 별도의 물리적 토큰 없이 스마트폰 애플리케이션 등 소프트웨어를 사용하여 MFA 코드를 생성하는 방식이며, 물리적 장치를 피하고자 할 때 가장 적합한 옵션입니다.

 

 

 

질문 34

스타트업이 도커 컨테이너에서 자체 애플리케이션을 실행합니다. 클라우드 실무자로서, 스타트업이 컨테이너를 실행하면서도 기본 서버에 액세스할 수 있도록 어떤 AWS 서비스를 추천하시겠습니까?

*

0/1

• AWS Fargate
• Amazon Elastic Container Registry(Amazon ECR)
• Amazon Elastic Container Service(Amazon ECS)
• AWS Lambda

해설

서비스/유형	기본 서버 (EC2 인스턴스) 액세스 가능 여부	특징
ECS (EC2 실행 유형)	O	컨테이너가 고객이 관리하는 EC2 인스턴스 위에서 실행되므로, 인스턴스에 접속하여 관리할 수 있습니다.
AWS Fargate	X	서버리스 컨테이너 실행 환경입니다. AWS가 기본 인프라를 관리하므로, 고객은 서버에 액세스할 수 없습니다.

핵심: 기본 서버에 대한 액세스가 필요하다는 요구 사항은 **서버리스(Fargate, Lambda)**를 제외하고, 고객이 컴퓨팅 리소스를 관리하는 ECS의 EC2 실행 유형을 선택해야 함을 의미합니다.

 

 

 

질문 35

다음 AWS 엔터티 중 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 시작하는 데 필요한 정보를 제공하는 것은 무엇입니까?

*

0/1

• AWS Lambda
• Amazon 탄력적 파일 시스템(Amazon EFS)
• Amazon Elastic Block Store(Amazon EBS)
• 아마존 머신 이미지(AMI)

해설

엔터티	역할
AMI (아마존 머신 이미지)	EC2 인스턴스를 시작하는 데 필요한 **템플릿(청사진)**입니다. 여기에는 운영 체제(OS), 애플리케이션 서버, 애플리케이션 등 소프트웨어 구성에 대한 정보가 포함됩니다.
Amazon EBS	EC2 인스턴스가 사용하는 영구적인 블록 스토리지입니다. 인스턴스 시작에 필요한 정보를 제공하는 것이 아니라, 인스턴스의 부팅 디스크 역할을 합니다.

핵심: EC2 인스턴스는 AMI라는 템플릿을 기반으로 시작됩니다.

 

 

질문 36

기본적으로 고가용성을 지원하는 AWS 서비스는 무엇입니까? (2개 선택)

*

0/1

• Instance Store
• Amazon Redshift
• Amazon 탄력적 파일 시스템(Amazon EFS)
• Amazon Elastic Block Store(Amazon EBS)
• Amazin DynamoDB

해설 

서비스	고가용성 특징	비고
Amazon EFS	파일 시스템 데이터가 기본적으로 **리전 내 여러 가용 영역(AZ)**에 저장됩니다.	다중 AZ 파일 시스템
Amazon DynamoDB	데이터가 기본적으로 **여러 가용 영역(AZ)**에 자동으로 복제됩니다.	다중 AZ NoSQL 데이터베이스
Amazon EBS	데이터가 단일 AZ 내에서만 복제됩니다. (고가용성을 위해 스냅샷이나 복제 설정 필요)	단일 AZ 블록 스토리지
Instance Store	데이터가 인스턴스 종료 시 사라지는 임시 스토리지이며 고가용성을 지원하지 않습니다.	임시/단일 인스턴스

핵심: EFS와 DynamoDB는 사용자가 별도의 작업을 하지 않아도 다중 AZ에 데이터를 분산하여 저장함으로써 기본적인 고가용성을 제공합니다.

 

 

 

질문 38

대역폭이 제한된 원격 위치에서 대량의 온프레미스 데이터를 AWS 클라우드로 옮겨야 하는 경우 어떤 AWS 서비스를 사용하시겠습니까?

*

0/1

• AWS Snowball
• AWS 가상 사설망(VPN)
• AWS Direct Connect
• AWS Transit Gateway

해설

서비스	역할	대용량/대역폭 제한 적합성
AWS Snowball	대규모 데이터를 물리적 장치에 담아 AWS로 배송하여 전송합니다.	가장 적합 (인터넷 대역폭을 사용하지 않아 시간이 절약됨)
VPN/Direct Connect/Transit Gateway	네트워크 연결을 제공합니다.	부적합 (대용량 데이터를 전송할 경우 대역폭 제한으로 인해 오랜 시간이 소요됨)

핵심: '대용량' 데이터와 **'제한된 대역폭(인터넷 연결이 느리거나 비싸다)'**이라는 조건이 주어지면, AWS Snowball과 같은 물리적 전송 서비스를 사용해야 가장 빠르고 경제적입니다.

 

 

질문 39

다음 중 AWS Auto Scaling 그룹에 대한 올바른 진술은 무엇입니까? (2개 선택)

*

0/1

• 자동 크기 조정 그룹은 수요 감소에 맞춰 Amazon EC2 인스턴스 수를 축소하고 줄입니다.
• 자동 크기 조정 그룹은 수요 증가에 맞춰 확장되고 더 많은 수의 Amazon EC2 인스턴스를 추가합니다.
• 자동 확장 그룹은 수요 증가에 맞춰 더욱 강력한 Amazon EC2 인스턴스로 확장 및 업그레이드됩니다.
• 자동 크기 조정 그룹은 수요에 맞춰 Amazon EC2 인스턴스 수를 축소하고 줄입니다.
• 자동 크기 조정 그룹은 수요 감소에 맞춰 덜 강력한 Amazon EC2 인스턴스로 축소 및 다운그레이드합니다.

 

 

 

질문 40

전자상거래 회사가 AWS 클라우드를 사용하고 개발 및 프로덕션 환경에 대한 별도의 송장을 받고 싶어합니다. 클라우드 실무자로서 이 사용 사례에 대해 다음 중 어떤 솔루션을 추천하시겠습니까?

*

0/1

• AWS Organizations를 사용하여 개발 및 프로덕션 환경에 대한 별도의 송장을 만듭니다.
• AWS 계정의 모든 리소스를 또는 로 태그 지정합니다 development. production그런 다음 태그를 사용하여 별도의 송장을 만듭니다.
• AWS Cost Explorer를 사용하여 개발 및 프로덕션 환경에 대한 별도의 송장을 만듭니다.
• 개발 및 프로덕션 환경에 대해 별도의 AWS 계정을 만들어 별도의 송장을 받으세요.

해설

요구 사항	AWS 서비스	비고
별도의 법적 송장	별도의 AWS 계정	AWS 계정 단위로 청구서(송장)가 발행되므로, 법적으로 독립된 청구서를 받으려면 계정을 분리해야 합니다.
비용 할당/분석	태그 및 Cost Explorer	태그는 단일 송장 내에서 비용을 **환경별로 분류(할당)**하는 데 사용됩니다.
계정 관리	AWS Organizations	여러 계정을 통합 관리하고 통합 청구를 적용하는 데 사용됩니다.

핵심: **별도의 송장(청구서)**을 받으려면 별도의 AWS 계정이 필수입니다.

 

 

질문 41

다음 AWS 서비스 중 블록 수준 스토리지를 제공하는 서비스는 무엇입니까? (2개 선택)

*

0/1

• Instance Store
• Amazon 탄력적 파일 시스템(Amazon EFS)
• Amazon Simple Storage Service(Amazon S3)
• Amazon Elastic Block Store(Amazon EBS)
• Amazon Elastic Container Service(Amazon ECS)

해설

스토리지 유형	서비스	특징
블록 스토리지	EBS 및 Instance Store	데이터를 고정된 크기의 블록 단위로 저장하고, OS가 로컬 드라이브처럼 인식합니다. (EC2 인스턴스의 하드 드라이브처럼 사용)
파일 스토리지	EFS	데이터를 파일 및 폴더 계층 구조로 저장합니다. (NFS 프로토콜 사용)
객체 스토리지	S3	데이터를 객체(Object) 단위로 저장하며, HTTP API를 통해 접근합니다.

핵심: EBS는 영구적인 블록 스토리지이고, Instance Store는 임시적인 블록 스토리지이지만, 둘 다 EC2 인스턴스에 블록 수준의 액세스를 제공합니다.

 

 

 

질문 44

한 회사가 클라우드에서 진행 중인 운영을 위해 준비된 동시에 새로운 워크로드를 배포, 구성 및 보안하는 데 도움이 되는 가이드 경로를 찾고 있습니다. 이 사용 사례에 활용할 수 있는 AWS 서비스/도구는 다음 중 어느 것입니까?

*

0/1

• AWS Config
• AWS Trusted Advisor
• Cloud Foundations
• AWS Shared Responsibility Model

해설 (핵심 정리)

정답은 3. Cloud Foundations 입니다.

항목	역할	문제 해결 적합성
Cloud Foundations	AWS 모범 사례를 기반으로 클라우드 환경을 계획, 배포, 구성, 보호하는 데 필요한 전체 가이드 경로를 제공합니다. (AWS 클라우드 도입 프레임워크(CAF)나 Well-Architected Framework의 기초 개념을 포괄)	가장 적합 (배포부터 운영 준비까지의 전반적인 지침 제공)
AWS Trusted Advisor	현재 운영 중인 리소스에 대한 보안/비용/성능 권장 사항을 제공하는 점검 도구입니다.	(X) 배포 전 가이드 경로가 아님

핵심: Cloud Foundations는 클라우드 준비 및 초기 배포 단계에서 전체적인 지침을 확립하는 데 초점을 맞춘 개념(프레임워크)이며, 질문의 요구 사항에 가장 정확하게 부합합니다.

 

질문 45

클라우드 전문가로서 데이터 보관을 위해 어떤 Amazon Simple Storage Service(Amazon S3) 스토리지 클래스를 추천하시겠습니까?

*

0/1

• Amazon S3 Standard
• Amazon S3 One Zone-Infrequent Access (S3 One Zone-IA)
• Amazon S3 Intelligent-Tiering
• Amazon S3 Glacier Flexible Retrieval

해설

스토리지 클래스	주요 목적	특징
S3 Standard	자주 액세스하는 범용 데이터	높은 가용성, 밀리초 단위 액세스
S3 One Zone-IA	자주 액세스하지 않지만 빠른 액세스가 필요한 데이터	단일 AZ 저장, Standard 대비 저렴 (데이터 보관보다는 접근 빈도가 낮은 데이터용)
S3 Intelligent-Tiering	접근 패턴이 불규칙한 데이터	접근 패턴에 따라 자동으로 계층을 이동 (보관용이 아님)
S3 Glacier Flexible Retrieval	장기적인 데이터 보관 (Archival)	S3 클래스 중 가장 비용 효율적이며, 데이터 검색에 몇 분에서 몇 시간까지 소요될 수 있습니다.

핵심: **데이터 보관(Archival)**은 데이터를 장기간 저렴하게 저장하고, 접근 지연 시간이 긴 것을 감수하는 목적이므로, Glacier 계열이 가장 적합합니다.

 

 

질문 47

AWS Budgets에서 어떤 예산 유형을 생성할 수 있나요?(3개 선택)

*

0/1

• Hardware budget
• Reservation budget
• Cost budget
• Resource budget
• Software budget

해설

AWS Budgets는 고객이 클라우드 지출을 효과적으로 추적하고 통제할 수 있도록 다음 세 가지 핵심 유형의 예산을 생성할 수 있도록 지원합니다.

예산 유형	역할	상세 설명
Cost budget (비용 예산)	금액(비용) 추적	한 달 동안 특정 서비스나 계정 그룹에 지출할 금액을 설정하고 실제 비용을 추적
Reservation budget (예약 예산)	약정(RI/SP) 활용도 추적	**Reserved Instances(RI) 및 Savings Plans(SP)**의 활용률(Utilization) 또는 **적용 범위(Coverage)**를 추적하여 약정 손실을 방지
Resource budget (리소스 예산)	세부 단위 추적	특정 **리소스 그룹(Resource Group)**이나 서비스의 비용을 추적합니다. (참고: 공식 문서의 주요 카테고리는 **Usage budget(사용량 예산)**이지만, 이 문제에서는 비용/사용량을 리소스 단위로 추적한다는 포괄적인 의미로 Resource budget이 정답으로 제시됩니다.)

핵심: AWS Budgets는 비용, 사용량/리소스, 예약 약정 세 가지 주요 측면을 중심으로 예산 관리를 제공합니다.

 

 

질문 49

Amazon Simple Storage Service(Amazon S3)에 새로운 파일이 업로드되어 트리거되는 코드를 실행하는 데 사용할 수 있는 AWS 서비스는 무엇입니까?

*

0/1

• Amazon Simple Queue Service(Amazon SQS)
• AWS Lambda
• Amazon Elastic Container Service(Amazon ECS)
• Amazon Elastic Compute Cloud(Amazon EC2)

 

해설 (핵심 정리)

정답은 2. AWS Lambda 입니다.

서비스	역할	적합성
AWS Lambda	서버리스 이벤트 기반 컴퓨팅	가장 적합 S3 객체 생성(업로드)과 같은 이벤트를 직접 받아 **자동으로 코드(함수)**를 실행하도록 설계되었습니다.
Amazon SQS	메시지 큐	이벤트 알림을 받아 코드를 실행시키는 실행 환경이 아닙니다.
Amazon ECS/EC2	서버 기반 컴퓨팅	코드를 실행할 수 있지만, S3 업로드에 의해 직접 트리거되는 용도로는 Lambda가 가장 효율적입니다.

핵심: S3 업로드, DynamoDB 업데이트 등 AWS 서비스의 이벤트에 반응하여 코드를 실행하는 가장 단순하고 효율적인 이벤트 기반 서버리스 서비스는 AWS Lambda입니다.

 

 

질문 51

IT 회사가 비용 최적화에 열중하고 있으며 활용도가 낮은 모든 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 파악하려고 합니다. 수동 구성 없이도 이 사용 사례를 해결하기 위해 기성품으로 사용할 수 있는 AWS 서비스는 무엇입니까? (두 가지 선택)

*

0/1

• AWS Budgets
• Amazon CloudWatch
• AWS Cost & Usage Report (AWS CUR)
• AWS Trusted Advisor
• AWS Cost Explorer

해설

서비스	역할	문제 해결 적합성
AWS Trusted Advisor	비용 최적화 검사를 제공하며, 활용도가 낮은 EC2 인스턴스 및 유휴 RDS 인스턴스 등을 자동으로 식별하여 보고합니다.	가장 적합 (기성품, 모범 사례 기반 권장 사항 제공)
AWS Cost Explorer	비용 및 사용량 데이터를 시각화하고 분석하여 비용 패턴을 파악합니다. 이를 통해 EC2 인스턴스의 활용도를 시각화하고 비용 감소 잠재력을 파악할 수 있습니다.	적합 (수동 분석 필요하지만, 비용 데이터 분석의 핵심 도구)
Amazon CloudWatch	사용자가 직접 지표(CPU 사용률 등)를 보고 알람을 설정해야 합니다. (수동 구성 필요)	부적합

핵심: Trusted Advisor는 AWS 모범 사례를 기반으로 낮은 활용도를 자동으로 진단하여 '기성품(Out-of-the-box)' 솔루션 역할을 합니다. Cost Explorer는 활용도와 관련된 비용 데이터를 분석하는 데 필수적입니다.

 

 

질문 52

온라인 분석 처리에 사용할 수 있는 AWS 서비스는 무엇입니까?

*

0/1

• Amazon ElastiCache
• Amazon Redshift
• Amazon DynamoDB
• Amazon Relational Database Service (Amazon RDS)

해설

정답은 2. Amazon Redshift 입니다.

서비스	유형	목적/특징
Amazon Redshift	OLAP / 데이터 웨어하우스	대규모 데이터를 대상으로 복잡하고 긴 쿼리(분석)를 빠르게 처리하도록 최적화된 서비스
Amazon RDS/DynamoDB	OLTP / 트랜잭션	**OLTP(온라인 트랜잭션 처리)**에 적합하며, 짧고 빈번한 읽기/쓰기 작업을 처리하는 데 최적화
Amazon ElastiCache	캐싱	데이터베이스의 성능을 향상시키기 위한 인메모리 캐싱 서비스

핵심: 분석(Analysis), 즉 OLAP를 위한 AWS의 전용 서비스는 Amazon Redshift입니다.

 

 

질문 53

Amazon Relational Database Service(Amazon RDS) 데이터베이스를 읽기 복제본 구성으로 배포하는 주요 이점은 무엇입니까?

*

0/1

• Read Replica는 데이터베이스 사용 비용을 줄여줍니다.
• Read Replica는 데이터베이스 가용성을 향상시킵니다.
• 읽기 복제본은 지역적 장애로부터 데이터베이스를 보호합니다.
• Read Replica는 데이터베이스 확장성을 개선합니다.

해설 

정답은 4. Read Replica는 데이터베이스 확장성을 개선합니다. 입니다.

기능	목적	특징
읽기 복제본 (Read Replica)	확장성 (Scalability)	읽기 트래픽을 주 데이터베이스(Primary DB)에서 분산시켜 처리함으로써, 주 DB의 부하를 줄이고 애플리케이션의 읽기 성능을 향상시킵니다. (읽기 전용 확장)
다중 AZ 배포 (Multi-AZ)	가용성 (Availability)	주 DB에 장애가 발생했을 때 자동으로 보조 DB로 전환하여 다운타임을 최소화합니다. (주요 목적이 가용성 향상)

핵심: Read Replica의 주된 목적은 읽기 작업을 분산하여 데이터베이스의 확장성을 높이는 것입니다.

 

질문 56

온디맨드 인스턴스 가격과 비교할 때, 예약 인스턴스(RI)에 대해 제공되는 최대 할인은 얼마입니까?

 

• 40
• 90
• 72
• 50

 

해설 

핵심: EC2 예약 인스턴스(RI) 또는 Savings Plans를 3년 약정 (전체 선결제 포함)으로 구매할 경우, 온디맨드 가격 대비 **최대 약 72%~75%**의 할인이 제공됩니다. 보기 중 **72%**가 가장 정확한 수치입니다. (참고: 90%는 Spot Instances 할인율입니다.)

 

 

 

질문 57

다음 중 AWS 공유 책임 모델에 관한 올바른 진술은 무엇입니까? (2개 선택)

*

1/1

• AWS는 AWS 및 고객 직원에게 AWS 제품 및 서비스에 대한 교육을 담당합니다.
• Amazon EC2와 같이 서비스로서의 인프라(IaaS)에 속하는 서비스의 경우 AWS는 게스트 운영 체제 유지 관리를 담당합니다.
• 구성 관리의 책임은 고객에게 있습니다.
• Amazon S3와 같은 추상화된 서비스의 경우 AWS는 인프라 계층, 운영 체제 및 플랫폼을 운영합니다.
• AWS는 클라우드의 보안을 책임집니다.

해설

정답	책임 주체	상세 설명 (고객 의견 기반)
5번	AWS	**클라우드의 보안(Security OF the Cloud)**을 책임집니다. 이는 서비스가 실행되는 하드웨어, 소프트웨어, 네트워킹, 시설 등 인프라 보호를 의미합니다.
4번	AWS	S3, DynamoDB와 같은 추상화된 서비스의 경우, AWS가 인프라 계층, 운영 체제, 플랫폼까지 모든 것을 운영 및 관리합니다. **추상화된 서비스(Abstracted Service)**란 AWS에서 제공하는 서비스 중 사용자가 기반 인프라나 운영 체제(OS) 관리에 신경 쓸 필요가 없도록 내부의 복잡한 계층이 숨겨진(추상화된) 형태의 서비스를 말합니다. 주로 **PaaS (Platform as a Service)**나 SaaS (Software as a Service) 모델에 해당합니다. 예시: 추상화된 서비스 (O): Amazon S3 (파일을 저장만 하면 됨, OS나 디스크 관리가 필요 없음), Amazon DynamoDB (데이터베이스 OS나 서버 관리가 필요 없음), AWS Lambda (코드를 실행만 하면 됨, 서버 관리가 필요 없음). 비(非)추상화된 서비스 (X): Amazon EC2 (가상 서버의 OS를 고객이 직접 관리해야 하므로 추상화가 덜 된 IaaS 모델).

 

 

질문 59

개발팀은 AWS 고객으로부터 가장 자주 묻는 질문과 요청이 AWS에서 제공하는 솔루션과 함께 나열되어 있는 포럼을 찾고 있습니다.

어떤 AWS 포럼/서비스를 이용해 문제를 해결하거나 해결책을 확인할 수 있나요?

*

0/1

• AWS Marketplace
• AWS Knowledge Center
• AWS Support Center
• AWS Health Dashboard - service health

해설 

정답은 2. AWS Knowledge Center 입니다.

서비스	역할	적합성
AWS Knowledge Center	AWS 지원 엔지니어가 작성한 자주 묻는 질문(FAQ), 문제 해결 방법, 솔루션 등을 모아 놓은 **공개 자료 저장소(지식 기반)**입니다.	가장 적합(자주 묻는 질문에 대한 해결책 제공)
AWS Support Center	**새로운 문의(티켓)**를 생성하고 기존 문의 내역을 관리하는 포털입니다.	부적합
AWS Health Dashboard	고객에게 영향을 미치는 AWS **서비스 상태(장애)**를 알려줍니다.	부적합
AWS Marketplace	타사 소프트웨어 및 서비스를 구매하는 디지털 카탈로그입니다.	부적합

핵심: AWS Knowledge Center는 셀프 서비스 방식으로 AWS 문제에 대한 해결책을 찾을 때 가장 먼저 찾아봐야 하는 곳입니다.

 

 

질문 61

사이버 보안 기관이 AWS 클라우드를 사용하고 AWS의 사전 승인 없이 자체 AWS 인프라에서 보안 평가를 수행하려고 합니다. 다음 중 어느 것이 이 관행을 설명/촉진합니까?

*

0/1

• Network Stress Testing
• AWS Secrets Manager
• Amazon Inspector
• Penetration Testing

해설 (핵심 정리)

용어	역할	적합성
Penetration Testing (침투 테스트)	시스템의 취약점을 식별하기 위해 윤리적인 해킹 기술을 사용하는 보안 평가 관행입니다.	가장 적합 (AWS는 고객이 자신의 EC2 인스턴스 등 일부 서비스에 대해 사전 승인 없이 특정 유형의 침투 테스트를 수행하는 것을 허용합니다.)
Amazon Inspector	AWS 리소스를 자동으로 평가하는 AWS 서비스입니다. (관행 자체가 아님)	부적합
Network Stress Testing	네트워크의 최대 용량과 성능을 테스트하는 데 중점을 둡니다.	부적합
AWS Secrets Manager	애플리케이션, 서비스 및 IT 리소스에 액세스하는 데 필요한 비밀을 보호하는 데 도움. 데이터베이스 자격 증명, API 키 및 기타 비밀을 수명 주기 전반에 걸쳐 쉽게 순환, 관리 및 검색

핵심: 고객이 자신의 AWS 리소스를 대상으로 취약점을 찾는 보안 평가를 수행하는 행위를 **침투 테스트(Penetration Testing)**라고 합니다. AWS는 특정 조건 하에 고객의 리소스에 대한 침투 테스트를 사전 승인 없이 허용하고 있습니다.

 

 

질문 63

AWS 공유 책임 모델에 따르면 다음 중 고객의 책임은 무엇입니까? (2개 선택)

*

0/1

• Amazon Simple Storage Service(Amazon S3) 버킷에 저장된 데이터의 데이터 암호화 활성화
• 클라우드 인프라의 규정 준수 검증
• AWS 글로벌 네트워크 보안
• AWS 직원이 고객 데이터에 액세스할 수 없도록 보장
• Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 운영 체제 패치 및 업데이트

해설 (핵심 정리).

책임 영역	서비스	이유
데이터 관리	S3 데이터 암호화	AWS는 S3 버킷 자체를 보호하지만, 그 안에 저장되는 데이터의 암호화 설정 및 관리는 고객의 책임입니다.
운영 체제 관리	EC2 OS 패치/업데이트	EC2는 **IaaS(서비스형 인프라)**에 해당하므로, 게스트 OS의 패치, 업데이트, 보안 그룹 설정 등 OS 이상의 모든 것은 고객의 책임입니다.

오답 핵심: 보기 2, 3, 4는 모두 **AWS의 책임 영역 (Security OF the Cloud)**에 해당합니다.

 

서비스 모델	AWS의 역할 (공급자)	사용자의 역할 (고객)	AWS 서비스 예시
SaaS	모든 것 (소프트웨어, 플랫폼, 인프라 관리)	소프트웨어 사용만	Gmail, Amazon Connect
PaaS	플랫폼까지 관리 (OS, 런타임 환경)	애플리케이션 및 데이터 관리	AWS Lambda, Amazon RDS, AWS Elastic Beanstalk
IaaS	인프라만 관리 (서버, 스토리지, 네트워킹)	운영체제(OS)부터 앱/데이터까지 모든 것 관리	Amazon EC2, Amazon EBS, Amazon S3

 

질문 65

다음 중 보안 그룹 및 네트워크 액세스 제어 목록(NACL)과 관련하여 올바른 진술은 무엇입니까? (두 가지 선택)

*

0/1

• 보안 그룹은 상태 비저장입니다. 즉, 반환 트래픽이 명시적으로 허용되어야 합니다.
• 보안 그룹은 상태 저장 그룹입니다. 즉, 자동으로 반환 트래픽을 허용합니다.
• 네트워크 액세스 제어 목록(네트워크 ACL)에는 번호가 매겨진 규칙 목록이 포함되어 있으며 트래픽을 허용할지 여부를 결정하는 동안 이러한 규칙을 증가하는 순서로 평가합니다.
• 네트워크 ACL(네트워크 액세스 제어 목록)은 상태 저장되어 있습니다. 즉, 자동으로 반환 트래픽을 허용합니다.
• 보안 그룹에는 번호가 매겨진 규칙 목록이 포함되어 있으며 트래픽을 허용할지 여부를 결정하는 동안 이러한 규칙을 증가하는 순서로 평가합니다.

해설 

정답은 2. 보안 그룹은 상태 저장 그룹입니다. 와 3. 네트워크 액세스 제어 목록(네트워크 ACL)에는 번호가 매겨진 규칙 목록이 포함되어 있습니다. 입니다.

 

이 문제는 **보안 그룹(Security Group)**과 **네트워크 ACL(Network ACL)**의 두 가지 근본적인 차이점(상태 저장 vs. 상태 비저장, 규칙 평가 방식)을 묻고 있습니다.

구분	보안 그룹 (Security Group, 인스턴스 레벨)	네트워크 ACL (Network ACL, 서브넷 레벨)
상태	상태 저장(Stateful)	상태 비저장(Stateless)
규칙 평가	모든 규칙을 평가하며 순서가 중요하지 않음.	번호 순서대로 평가함.
규칙 허용	허용(Allow) 규칙만 가능합니다.	허용(Allow) 및 거부(Deny) 규칙을 모두 사용할 수 있습니다.

핵심: 보안 그룹이 상태 저장이기 때문에 인바운드 규칙을 허용하면 아웃바운드 반환 트래픽이 자동으로 허용됩니다. 반면, 네트워크 ACL은 규칙의 번호 순서가 중요하며, 명시적으로 인바운드/아웃바운드 모두 허용해야 합니다.