보안 탐지를 클라우드에서 처음 설계할 때 가장 큰 함정은 "보안 서비스가 다 비슷해 보인다"는 착각이다. Macie, GuardDuty, Inspector는 이름만으로는 무엇을 탐지하는지 구분되지 않고, SAP-C02 시험은 정확히 이 혼동을 노린다. 핵심은 세 서비스가 완전히 다른 데이터를, 완전히 다른 방법으로 본다는 것이다. Macie는 데이터의 내용(S3 객체 안에 카드 번호가 있나)을, GuardDuty는 행동의 이상(이 계정이 평소 안 하던 짓을 하나)을, Inspector는 소프트웨어의 결함(이 EC2에 알려진 취약점이 있나)을 본다.
이 셋을 "내용 · 행동 · 결함"의 삼각형으로 머릿속에 박아두면 시험의 거의 모든 탐지 문제가 풀린다. 오늘은 각 서비스의 내부 동작 원리(ML 분류, 위협 인텔리전스, CVE 매칭)와, 이들이 Security Hub·EventBridge로 묶여 자동 대응 파이프라인이 되는 통합 패턴을 정리한다.