어느 금융 스타트업이 처음 ISO 27001 인증을 받으려 한다. 외부 감사관이 요청 목록을 보내왔다. "지난 6개월간 MFA 없이 콘솔에 접근한 사례", "RDS 암호화 적용 현황 전수 조사", "IAM 정책 변경 이력 일체." 운영팀은 CloudTrail 로그를 뒤지고, Config 결과를 엑셀로 내보내고, 수동으로 스크린샷을 찍어 PDF로 정리했다. 두 명이 꼬박 3주를 썼다. 다음 해 다시 감사가 예고됐다. 또 3주를 써야 하나.
이것이 AWS Audit Manager가 해결하려는 문제다. 감사(audit)는 본래 주기적으로 반복되고, 요구하는 증거의 형식은 Framework마다 달라지며, 같은 증거를 여러 Framework에서 중복으로 요청하는 경우도 많다. 수작업으로 이 과정을 처리하면 인적 오류가 생기고, 담당자가 바뀌면 맥락이 사라지며, 무엇보다 "운영하면서 감사를 병행"하는 것 자체가 인력 낭비다. Audit Manager는 이 반복 작업을 자동화하고, 언제 감사가 와도 증거를 즉시 꺼낼 수 있는 상태를 만드는 것을 목표로 설계됐다. 오늘은 Audit Manager의 내부 구조부터 시작해 License Manager의 BYOL 강제 메커니즘, Resource Explorer의 멀티 리전 인덱스 설계까지 "운영자가 실제로 쓰는" 방식으로 파고든다.