2019년 Capital One 사고가 1억 600만 명의 고객 데이터를 흘려보낸 직접 원인은 WAF의 SSRF 취약점이었지만, 그게 그렇게 큰 사고로 번진 진짜 이유는 빌드 파이프라인 어디에도 SSRF를 잡을 자동화된 보안 게이트가 없었다는 점이다. SAST 한 줄, 코드 리뷰 한 단계, IMDS hop limit 검증 한 가지만 PR 단계에 박혀 있었어도 사고는 발생 전에 멈췄을 것이다. DevSecOps의 "Shift Left"는 그 게이트를 **운영(right)이 아니라 PR/IDE(left)**로 옮기는 일이다.
오늘은 그 게이트들의 AWS 도구 매핑을 본다. CodeGuru 3종, AWS Signer로 만드는 신뢰 체인, Inspector의 CVE 자동 스캔, 그리고 이 모두를 SLSA·SBOM·OCI 같은 산업 표준과 어떻게 엮어 한 파이프라인을 완성하는지. 시험은 도구 이름을 묻지 않는다 — "이 시나리오에서 어느 단계에서 어떤 검증이 들어가야 하느냐"를 묻는다.