보안에는 두 갈래의 사고방식이 있다. 하나는 "안에서 잘 막자" — 입력을 검증하고, 쿼리를 파라미터화하고, 출력을 이스케이프하는 애플리케이션 레벨 방어다. 다른 하나는 "밖에서 미리 거르자" — 악성 트래픽이 애플리케이션에 닿기 전에 네트워크 가장자리에서 차단하는 엣지 레벨 방어다. 둘 다 필요하다. 애플리케이션 방어만 있으면 DDoS 한 방에 서버가 마비되고, 엣지 방어만 있으면 정교한 로직 공격이 통과한다. AWS의 WAF·Shield·ACM은 이 "밖에서 미리 거르는" 엣지 방어 계층을 각각 다른 위협에 대해 담당한다 — WAF는 7계층 애플리케이션 공격을, Shield는 3·4계층 DDoS를, ACM은 전송 암호화(TLS)를.
DVA-C02 시험에서 이 셋은 "어느 위협에 어느 서비스"를 가르는 분류 문제로 나온다. SQL 인젝션은 WAF, DDoS 비용 폭증은 Shield Advanced, CloudFront HTTPS 인증서는 us-east-1의 ACM — 이런 매핑이 핵심이다. 이번 글은 각 서비스가 OSI 모델의 어느 층을 방어하는지, WAF 규칙이 어떤 순서로 평가되는지, Shield Standard와 Advanced를 가르는 진짜 기준이 무엇인지, 그리고 ACM이 EC2에는 왜 안 되는지를 본다.
세 서비스를 이해하는 가장 빠른 길은 OSI 7계층 모델 위에 올려놓는 것이다.