여러 탐지 도구를 한꺼번에 켜 본 사람은 곧 진짜 문제를 만난다. GuardDuty는 GuardDuty 형식으로, Inspector는 Inspector 형식으로, Macie는 또 다른 형식으로 알람을 쏟아낸다. 같은 S3 버킷 하나에 대해 세 도구가 각자 다른 모양의 경보를 내면, 운영자는 그게 같은 문제인지 다른 문제인지조차 알기 어렵다. "여러 소스의 보안 신호를 하나의 언어로 통일하고, 중복을 제거하고, 우선순위를 매겨, 그 위에서 자동 수정을 건다." 이 문제를 푸는 게 Security Hub이고, 이는 수십 년 묵은 SIEM(Security Information and Event Management)의 클라우드 네이티브 재구현이다. 콘솔에서 보면 Security Hub는 "보안 점수를 보여주는 대시보드"처럼 보이지만, 그 밑에는 데이터 정규화, 상관 분석(correlation), 중복 제거, 규칙 기반 자동화라는 SIEM의 고전적 설계가 깔려 있다. 오늘은 이 대시보드가 어떻게 서로 다른 도구의 출력을 ASFF로 통일하고, 컴플라이언스 표준을 어떻게 평가하며, 자동 수정을 Custom Action·Automation Rule·EventBridge 중 무엇으로 거는지를 판다.