한 주 동안 KMS, Secrets Manager, Parameter Store, Cognito, WAF, Shield, ACM을 차례로 봤다. 처음 보면 서로 무관한 서비스들의 나열처럼 느껴지지만, 실제로는 하나의 요청이 인터넷에서 출발해 애플리케이션의 데이터에 닿기까지 거치는 방어 계층(defense in depth) 의 단면들이다. DDoS는 Shield가 흡수하고, 악성 HTTP 패턴은 WAF가 거르고, 신원은 Cognito가 증명하고, 전송은 ACM의 TLS가 감싸고, 저장된 비밀은 Secrets Manager가, 그 비밀을 푸는 키는 KMS가 지킨다. 이 순서를 머릿속에 그릴 수 있으면 Week 9의 거의 모든 문제는 "이 계층 어디서 막아야 하는가"라는 단일 질문으로 환원된다.
DVA-C02 보안 섹션이 어려운 이유는 개념 자체가 아니라 비슷한 두 서비스 사이의 미세한 경계 때문이다. Secrets Manager와 Parameter Store는 둘 다 비밀을 저장하지만 자동 회전 유무가 다르고, User Pool과 Identity Pool은 둘 다 Cognito지만 하나는 인증을 다른 하나는 인가를 맡는다. Shield Standard와 Advanced는 둘 다 DDoS를 막지만 비용 보호 여부가 갈린다. 이번 복습은 그 경계선들을 한 번 더 또렷하게 긋고, 실제 보안 사고가 왜 이 경계를 무시했을 때 터졌는지를 짚은 뒤, 시험 유형의 시나리오로 마무리한다.