🔸 A. 조직/정책 관련 혼동
| # |
개념쌍 |
헷갈리는 이유 |
구분 핵심 |
기억 문장 |
| 1 |
SCP 🆚 IAM Policy |
둘 다 권한 JSON 문법 |
SCP는 “최대 한도(Guardrail)”, IAM은 “실제 권한” |
“SCP는 브레이크, IAM은 엑셀” |
| 2 |
IAM Permission Policy 🆚 Trust Policy |
둘 다 Role에 붙음 |
Trust는 AssumeRole 조건, Permission은 행동 권한 |
“MFA 조건은 Trust에 넣는다” |
| 3 |
SCP 🆚 Resource Policy |
둘 다 Account 밖 접근 제한 가능해 보임 |
SCP는 계정 수준 제어, Resource Policy는 리소스 단위 제어 |
“SCP는 전체 계정, Resource Policy는 버킷 하나” |
| 4 |
Service Catalog 🆚 StackSets |
둘 다 표준 배포로 보임 |
Catalog는 무엇을 실행 가능?, StackSets는 어디에 배포할까? |
“Catalog는 제한, StackSets는 전파” |
| 5 |
SCP 🆚 Config Rule |
둘 다 컴플라이언스와 연관 |
SCP는 사전 제한 (prevent), Config Rule은 사후 감시 (detect) |
“Prevent면 SCP, Detect면 Config” |
| 6 |
Delegated Admin 🆚 Master Account |
둘 다 Organization 내 대표 계정 |
Delegated는 특정 서비스 위임, Master는 조직 소유자 |
“Delegated는 서비스별, Master는 전체” |
🔸 B. 네트워크/접근제어 관련 혼동
| # |
개념쌍 |
헷갈리는 이유 |
구분 핵심 |
기억 문장 |
| 7 |
VPC Endpoint 🆚 NAT Gateway |
둘 다 Private Subnet에서 외부 접속 |
Endpoint는 AWS 내부 서비스용, NAT는 인터넷용 |
“AWS 서비스면 Endpoint, 외부면 NAT” |
| 8 |
PrivateLink 🆚 Transit Gateway |
둘 다 VPC 연결 기능 |
PrivateLink는 서비스 단위 연결, TGW는 네트워크 레벨 연결 |
“서비스면 PrivateLink, 전체망이면 TGW” |
| 9 |
Security Group 🆚 NACL |
둘 다 트래픽 필터링 |
SG는 상태 기반, NACL은 비상태 |
“SG는 Stateful, NACL은 Stateless” |
| 10 |
VPC Peering 🆚 VPN |
둘 다 네트워크 연결 |
Peering은 AWS 내부, VPN은 온프레미스 또는 외부 |
“Peering은 클라우드끼리, VPN은 외부 연결” |
🔸 C. 암호화/KMS/보안 관리 관련 혼동
| # |
개념쌍 |
헷갈리는 이유 |
구분 핵심 |
기억 문장 |
| 11 |
Managed Key 🆚 Imported Key |
둘 다 CMK |
Managed는 자동 회전 가능, Imported는 수동 |
“Imported는 내가 넣었으니 내가 돌려야 한다” |
| 12 |
KMS Key Policy 🆚 IAM Policy |
둘 다 권한 제어 |
KMS Key Policy는 키 자체의 접근 통제, IAM Policy는 사용자의 권한 통제 |
“키 접근은 Key Policy, 사람 권한은 IAM Policy” |
| 13 |
Envelope Encryption 🆚 SSE-S3/KMS/CMK |
모두 암호화 같아 보임 |
Envelope은 데이터키+마스터키 이중 암호화 구조 |
“Envelope은 두 번 싸서 보관” |
| 14 |
Secrets Manager 🆚 Parameter Store |
둘 다 비밀 저장 |
Secrets는 민감 정보 자동 회전, Parameter는 일반 설정 저장 |
“비밀번호면 Secrets, 설정값이면 Parameter” |
| 15 |
KMS Grant 🆚 Key Policy |
둘 다 접근 제어 방식 |
Grant는 일시적 위임, Policy는 영구 권한 |
“Grant는 임시, Policy는 고정” |
🔸 D. 로깅/탐지/경보 관련 혼동
| # |
개념쌍 |
헷갈리는 이유 |
구분 핵심 |
기억 문장 |
| 16 |
CloudTrail 🆚 CloudWatch Logs |
둘 다 로그 수집 |
CloudTrail은 API 호출 감사, CloudWatch는 시스템 로그 |
“누가 뭘 했는가 → Trail, 무슨 일이 일어났는가 → Watch” |
| 17 |
CloudWatch Alarm 🆚 EventBridge Rule |
둘 다 이벤트 대응 |
Alarm은 지표 기반, EventBridge는 이벤트 기반 |
“CPU 90%면 Alarm, EC2 Stop이면 EventBridge” |
| 18 |
GuardDuty 🆚 Security Hub |
둘 다 탐지 서비스 |
GuardDuty는 탐지, Security Hub는 통합 |
“GuardDuty는 눈, Hub는 대시보드” |
| 19 |
Config Rule 🆚 Audit Manager |
둘 다 규정 준수 |
Config는 구성 상태 검사, Audit Manager는 증거 수집 리포트 |
“Config는 검사, Audit은 증명” |
| 20 |
Detective 🆚 GuardDuty |
둘 다 분석 서비스 |
Detective는 사후 관계분석, GuardDuty는 실시간 탐지 |
“GuardDuty는 알람, Detective는 추적” |
🔸 E. 추가로 오답에서 자주 등장한 “부분 개념 혼동”
| 개념 |
오답 경향 |
정리 포인트 |
| Macie vs Config Rule (Q238) |
Macie가 공개 여부 감시까지 하는 줄 착각 |
Macie는 PII 탐지, S3 공개 설정은 Config Rule |
| Run Command vs Systems Manager State Manager (Q70 연관) |
Run Command로 지속 관리 가능하다고 착각 |
Run Command는 단발성, State Manager는 지속적 구성 유지 |
| CloudFormation Condition vs IAM Condition |
Condition 키를 혼동 |
CloudFormation Condition은 리소스 생성 여부, IAM Condition은 액션 허용 조건 |
| Organizations SCP vs Tag Policy |
둘 다 정책 JSON이라 혼동 |
SCP는 서비스 접근 제한, Tag Policy는 태그 형식 강제 |
| Cross-Account AssumeRole vs Resource-based Policy |
접근 위임 구조 혼동 |
AssumeRole은 역할 기반 접근, Resource Policy는 리소스가 직접 허용 |
| Instance Profile vs Role |
둘 다 “Role”로 보임 |
Instance Profile은 Role을 EC2에 연결하는 껍데기 |
🧠 시험 전략용 판단 기준
| 문제 문장 속 키워드 |
해석 방향 |
정답 경향 |
| “승인된 리소스만 허용” |
사전 통제 |
✅ Service Catalog / SCP |
| “모든 계정에서 일괄 배포” |
중앙 배포 |
✅ StackSets |
| “실시간 탐지” |
위협 감지 |
✅ GuardDuty |
| “위반 시 알림” |
규정 감시 |
✅ Config Rule |
| “사후 조사/분석” |
인시던트 트레이싱 |
✅ Detective |
| “감사/증거” |
규정 증명 |
✅ Audit Manager |
| “자동 키 순환” |
관리형 키 |
✅ AWS Managed Key |
| “수동으로 교체” |
가져온 키 |
✅ Imported Key |
| “임시 권한 부여” |
Delegation |
✅ KMS Grant / STS AssumeRole |
| “비밀번호 저장소” |
자동 회전 |
✅ Secrets Manager |
🔹 마무리 요약
AWS Security Specialty 시험에서 헷갈리는 문제의 80%는
“도구의 목적(Prevent / Detect / Respond / Enforce)”을 혼동할 때 발생합니다.
| 유형 |
대표 서비스 |
역할 |
| Prevent (사전 제한) |
SCP, IAM Policy, Service Catalog |
실행 자체 제한 |
| Detect (탐지/감시) |
Config, GuardDuty, CloudTrail |
이상 징후/규정 위반 감시 |
| Respond (대응/조치) |
EventBridge, Run Command, Lambda |
탐지 후 자동 조치 |
| Enforce (통합/표준화) |
StackSets, Security Hub, Audit Manager |
조직 단위 관리 |