AWS Security Specialty 혼동 개념 총정리 (20세트 ver.)

🔸 A. 조직/정책 관련 혼동

#	개념쌍	헷갈리는 이유	구분 핵심	기억 문장
1	SCP 🆚 IAM Policy	둘 다 권한 JSON 문법	SCP는 “최대 한도(Guardrail)”, IAM은 “실제 권한”	“SCP는 브레이크, IAM은 엑셀”
2	IAM Permission Policy 🆚 Trust Policy	둘 다 Role에 붙음	Trust는 AssumeRole 조건, Permission은 행동 권한	“MFA 조건은 Trust에 넣는다”
3	SCP 🆚 Resource Policy	둘 다 Account 밖 접근 제한 가능해 보임	SCP는 계정 수준 제어, Resource Policy는 리소스 단위 제어	“SCP는 전체 계정, Resource Policy는 버킷 하나”
4	Service Catalog 🆚 StackSets	둘 다 표준 배포로 보임	Catalog는 무엇을 실행 가능?, StackSets는 어디에 배포할까?	“Catalog는 제한, StackSets는 전파”
5	SCP 🆚 Config Rule	둘 다 컴플라이언스와 연관	SCP는 사전 제한 (prevent), Config Rule은 사후 감시 (detect)	“Prevent면 SCP, Detect면 Config”
6	Delegated Admin 🆚 Master Account	둘 다 Organization 내 대표 계정	Delegated는 특정 서비스 위임, Master는 조직 소유자	“Delegated는 서비스별, Master는 전체”

---

🔸 B. 네트워크/접근제어 관련 혼동

#	개념쌍	헷갈리는 이유	구분 핵심	기억 문장
7	VPC Endpoint 🆚 NAT Gateway	둘 다 Private Subnet에서 외부 접속	Endpoint는 AWS 내부 서비스용, NAT는 인터넷용	“AWS 서비스면 Endpoint, 외부면 NAT”
8	PrivateLink 🆚 Transit Gateway	둘 다 VPC 연결 기능	PrivateLink는 서비스 단위 연결, TGW는 네트워크 레벨 연결	“서비스면 PrivateLink, 전체망이면 TGW”
9	Security Group 🆚 NACL	둘 다 트래픽 필터링	SG는 상태 기반, NACL은 비상태	“SG는 Stateful, NACL은 Stateless”
10	VPC Peering 🆚 VPN	둘 다 네트워크 연결	Peering은 AWS 내부, VPN은 온프레미스 또는 외부	“Peering은 클라우드끼리, VPN은 외부 연결”

---

🔸 C. 암호화/KMS/보안 관리 관련 혼동

#	개념쌍	헷갈리는 이유	구분 핵심	기억 문장
11	Managed Key 🆚 Imported Key	둘 다 CMK	Managed는 자동 회전 가능, Imported는 수동	“Imported는 내가 넣었으니 내가 돌려야 한다”
12	KMS Key Policy 🆚 IAM Policy	둘 다 권한 제어	KMS Key Policy는 키 자체의 접근 통제, IAM Policy는 사용자의 권한 통제	“키 접근은 Key Policy, 사람 권한은 IAM Policy”
13	Envelope Encryption 🆚 SSE-S3/KMS/CMK	모두 암호화 같아 보임	Envelope은 데이터키+마스터키 이중 암호화 구조	“Envelope은 두 번 싸서 보관”
14	Secrets Manager 🆚 Parameter Store	둘 다 비밀 저장	Secrets는 민감 정보 자동 회전, Parameter는 일반 설정 저장	“비밀번호면 Secrets, 설정값이면 Parameter”
15	KMS Grant 🆚 Key Policy	둘 다 접근 제어 방식	Grant는 일시적 위임, Policy는 영구 권한	“Grant는 임시, Policy는 고정”

---

🔸 D. 로깅/탐지/경보 관련 혼동

#	개념쌍	헷갈리는 이유	구분 핵심	기억 문장
16	CloudTrail 🆚 CloudWatch Logs	둘 다 로그 수집	CloudTrail은 API 호출 감사, CloudWatch는 시스템 로그	“누가 뭘 했는가 → Trail, 무슨 일이 일어났는가 → Watch”
17	CloudWatch Alarm 🆚 EventBridge Rule	둘 다 이벤트 대응	Alarm은 지표 기반, EventBridge는 이벤트 기반	“CPU 90%면 Alarm, EC2 Stop이면 EventBridge”
18	GuardDuty 🆚 Security Hub	둘 다 탐지 서비스	GuardDuty는 탐지, Security Hub는 통합	“GuardDuty는 눈, Hub는 대시보드”
19	Config Rule 🆚 Audit Manager	둘 다 규정 준수	Config는 구성 상태 검사, Audit Manager는 증거 수집 리포트	“Config는 검사, Audit은 증명”
20	Detective 🆚 GuardDuty	둘 다 분석 서비스	Detective는 사후 관계분석, GuardDuty는 실시간 탐지	“GuardDuty는 알람, Detective는 추적”

---

🔸 E. 추가로  오답에서 자주 등장한 “부분 개념 혼동”

개념	오답 경향	정리 포인트
Macie vs Config Rule (Q238)	Macie가 공개 여부 감시까지 하는 줄 착각	Macie는 PII 탐지, S3 공개 설정은 Config Rule
Run Command vs Systems Manager State Manager (Q70 연관)	Run Command로 지속 관리 가능하다고 착각	Run Command는 단발성, State Manager는 지속적 구성 유지
CloudFormation Condition vs IAM Condition	Condition 키를 혼동	CloudFormation Condition은 리소스 생성 여부, IAM Condition은 액션 허용 조건
Organizations SCP vs Tag Policy	둘 다 정책 JSON이라 혼동	SCP는 서비스 접근 제한, Tag Policy는 태그 형식 강제
Cross-Account AssumeRole vs Resource-based Policy	접근 위임 구조 혼동	AssumeRole은 역할 기반 접근, Resource Policy는 리소스가 직접 허용
Instance Profile vs Role	둘 다 “Role”로 보임	Instance Profile은 Role을 EC2에 연결하는 껍데기

---

🧠 시험 전략용 판단 기준

문제 문장 속 키워드	해석 방향	정답 경향
“승인된 리소스만 허용”	사전 통제	✅ Service Catalog / SCP
“모든 계정에서 일괄 배포”	중앙 배포	✅ StackSets
“실시간 탐지”	위협 감지	✅ GuardDuty
“위반 시 알림”	규정 감시	✅ Config Rule
“사후 조사/분석”	인시던트 트레이싱	✅ Detective
“감사/증거”	규정 증명	✅ Audit Manager
“자동 키 순환”	관리형 키	✅ AWS Managed Key
“수동으로 교체”	가져온 키	✅ Imported Key
“임시 권한 부여”	Delegation	✅ KMS Grant / STS AssumeRole
“비밀번호 저장소”	자동 회전	✅ Secrets Manager

---

🔹 마무리 요약

AWS Security Specialty 시험에서 헷갈리는 문제의 80%는
“도구의 목적(Prevent / Detect / Respond / Enforce)”을 혼동할 때 발생합니다.

유형	대표 서비스	역할
Prevent (사전 제한)	SCP, IAM Policy, Service Catalog	실행 자체 제한
Detect (탐지/감시)	Config, GuardDuty, CloudTrail	이상 징후/규정 위반 감시
Respond (대응/조치)	EventBridge, Run Command, Lambda	탐지 후 자동 조치
Enforce (통합/표준화)	StackSets, Security Hub, Audit Manager	조직 단위 관리