보안 운영을 오래 들여다보면 결국 한 가지 긴장으로 수렴한다. "공격은 정상 트래픽 사이에 숨어 들어오는데, 어떻게 사람의 개입 없이 그 한 줌의 악성 신호를 골라내고, 골라낸 즉시 손을 쓸 것인가." 이 질문이 탐지(detection)와 대응(response)이라는 두 축으로 갈라지고, AWS에서 그 첫 축을 떠받치는 서비스가 GuardDuty다. 콘솔에서 보면 GuardDuty는 그냥 "켜기 버튼 하나로 동작하는 관리형 위협 탐지"처럼 보이지만, 그 밑에는 1980년대 침입 탐지 연구부터 쌓여 온 신호 처리 — 시그니처 기반 탐지, 이상 탐지(anomaly detection), 위협 인텔리전스, 행동 분석 — 이 그대로 깔려 있다. 오늘은 이 "켜기 버튼"이 내부에서 어떤 데이터를 어떻게 읽어 위협을 판정하는지, 탐지된 Finding을 EventBridge와 SSM Automation으로 어떻게 사람 없이 격리까지 끌고 가는지, 그리고 그 자동화가 어디서 위험해지는지를 판다.
DOP 시험에서 GuardDuty는 "위협 탐지 + 자동 대응"의 토대로, "탐지된 침해 인스턴스를 사람 개입 없이 30초 내 격리하려면", "멀티 계정 전체에 탐지를 일괄 적용하려면", "false positive로 운영팀이 알림 피로에 빠졌을 때 noise를 줄이려면" 같은 시나리오로 반복 등장한다