Amazon Inspector vs ECR 기본 스캔

✅ Amazon Inspector의 역할

• 현재(2023 이후 기준) Amazon Inspector는
  • ECR 이미지 푸시 시 자동 스캔 (push scanning)
  • ECR 내 모든 이미지에 대한 주기적 스캔 (continuous scanning)
    을 자동으로 수행합니다.
• ECR의 기본 스캐닝(ECR Basic Scanning) 은 단순히 푸시 시점 1회성 검사였지만,
  Inspector는 지속적 스캔 + 취약점 심각도별 결과를 중앙집중화합니다.
• 결과는 Security Hub로 자동 연동되어, 다른 보안 서비스 결과(GuardDuty, Macie 등)와 함께 통합 대시보드에서 볼 수 있습니다.

---

🧠 핵심 포인트 요약

항목                                        Amazon Inspector                                                                                ECR 기본 스캔 

스캔 주기	지속적(Continuous) + 푸시 시 자동	푸시 시 1회
결과 연동	Security Hub 자동 통합	없음 (별도 설정 필요)
스캔 제외 설정	포함/제외 규칙(Include/Exclude filters) 설정 가능	제한적
중앙 대시보드 통합	지원 (Security Hub)	불가능
운영 오버헤드	자동 관리	수동 관리 필요

 

✅ ① ECR 기본 스캔이 정답인 문제 예시

🧩 문제 1

한 스타트업은 Amazon ECS를 사용하여 컨테이너 기반 웹 애플리케이션을 운영합니다.
보안팀은 새로 푸시되는 컨테이너 이미지에 대해 자동으로 취약점을 검사해야 합니다.
회사는 추가 비용을 최소화해야 하며, 보안 결과는 개발팀이 ECR 콘솔에서 직접 확인할 예정입니다.
어떤 솔루션이 가장 적합합니까?

A. Amazon Inspector를 사용하여 모든 ECR 리포지토리에 대한 지속적 스캔을 구성합니다.
B. ECR 리포지토리에서 기본 스캐닝(Basic Scanning) 을 활성화하여 푸시 시 자동 스캔을 수행합니다.
C. AWS Config 규칙을 만들어 컨테이너 이미지의 취약점을 감시합니다.
D. ECR 이미지를 S3로 내보내고 Amazon Macie를 사용해 검사합니다.

✅ 정답: B

🟢 이유:
“추가 비용 최소화”, “푸시 시 자동 검사”, “ECR 콘솔에서 직접 확인” →
ECR 기본 스캔의 전형적 케이스. Inspector는 불필요하게 과도함.

---

🧩 문제 2

한 회사는 내부용 테스트 환경에서만 컨테이너 이미지를 사용합니다.
보안팀은 새 이미지가 리포지토리에 푸시될 때마다 취약점이 있는지 한 번만 확인하려고 합니다.
결과를 중앙집중식으로 관리할 필요는 없습니다.
어떤 솔루션을 사용해야 합니까?

A. ECR 기본 스캔을 활성화합니다.
B. Amazon Inspector에서 지속적인 스캔을 설정합니다.
C. Security Hub로 결과를 전송하도록 Amazon Inspector를 구성합니다.
D. Amazon GuardDuty를 활성화하여 컨테이너 이미지를 검사합니다.

✅ 정답: A

🟢 이유:
“한 번만 검사”, “중앙 관리 필요 없음”, “테스트 환경” →
기본 스캔이면 충분, Inspector는 과도한 구성.

---

✅ ② Amazon Inspector가 정답인 문제 예시

🧩 문제 3

한 대기업은 여러 AWS 계정에서 Amazon ECS와 Amazon ECR을 사용합니다.
보안팀은 조직 전체에서 컨테이너 이미지 취약점을 지속적으로 검사해야 하며,
결과를 AWS Security Hub 대시보드에서 다른 보안 결과와 함께 분석하려고 합니다.
비용보다 중앙 관리와 자동화가 더 중요합니다.
어떤 솔루션이 가장 적합합니까?

A. Amazon Inspector를 사용하여 모든 ECR 리포지토리에 대해 지속적 스캔을 구성합니다.
B. 각 ECR 리포지토리에 기본 스캔을 활성화하고, AWS Config를 사용하여 결과를 집계합니다.
C. ECR 이미지를 Amazon Macie로 내보내고 분석합니다.
D. CloudWatch Logs Insights를 사용하여 ECR 푸시 로그를 분석합니다.

✅ 정답: A

🟢 이유:
“조직 전체”, “지속적”, “Security Hub 통합” →
Inspector 전형적 키워드 조합.

---

🧩 문제 4

보안팀은 ECS/ECR 환경의 취약점 관리 체계를 자동화해야 합니다.
팀은 스캔 대상 리포지토리 중 일부를 제외하려고 합니다.
또한 스캔 결과를 Security Hub에서 다른 보안 서비스 결과와 함께 보려 합니다.
어떤 솔루션이 이러한 요구사항을 충족합니까?

A. Amazon Inspector를 사용하여 포함/제외 규칙을 생성하고 결과를 Security Hub로 보냅니다.
B. ECR 기본 스캔을 활성화하고 제외할 리포지토리를 수동으로 관리합니다.
C. ECR 이미지 메타데이터를 CloudTrail로 내보내고 Athena로 분석합니다.
D. GuardDuty에서 ECR 관련 탐지를 활성화합니다.

✅ 정답: A

🟢 이유:
“제외 규칙(exclusion rules)”, “Security Hub 대시보드”, “자동화” →
→ Inspector가 유일하게 해당 기능을 제공.

---

📘 정리 요약

조건                                                                                                                                            정답

소규모 환경 / 푸시 시 1회 검사 / 비용 절감	✅ ECR 기본 스캔
조직 전체 / 지속적 검사 / Security Hub 통합 / 제외 규칙 필요	✅ Amazon Inspector