마지막 두 도메인은 시스템이 위협받거나 무너질 때 무엇을 하는가를 다룬다. 도메인 5(인시던트 및 이벤트 대응, 14%)와 도메인 6(보안 및 컴플라이언스, 17%)는 합쳐 31%로, 셋째 날의 비중이 가장 크다. 그리고 이 둘은 보안 거버넌스의 시간축 위에서 연속된다 — 보안(도메인 6)이 "위협을 막고·탐지하는 평시의 자세"라면, 인시던트 대응(도메인 5)은 "탐지된 위협에 반응하는 유사시의 자동화"다. 탐지(GuardDuty)가 대응(EventBridge → Lambda)을 트리거하고, 대응이 다시 보안 상태를 복구한다. 시험은 이 둘을 거의 항상 한 흐름으로 묶어 묻는다 — "S3 버킷이 공개되면 자동으로 차단하라"는 문제는 탐지(Config)와 대응(SSM Remediation)이 한 사슬이다.
오늘의 복습은 보안 서비스 이름을 외우는 데서 멈추지 않고, 모든 보안 통제를 예방·탐지·대응의 세 범주(통제 이론)로 분류하고, 자동 대응을 이벤트 기반 아키텍처(EDA)의 제어 루프로 이해하며, 멀티 계정 보안 거버넌스가 왜 "중앙 집계 + 위임"의 형태로 수렴하는지를 다시 판다.
보안 서비스가 수십 개라 외우기 벅차 보이지만, 모든 통제는 세 범주 중 하나에 속한다. 이 좌표계를 깔면 어떤 서비스든 제자리를 찾는다.