백업의 역설은 이렇다. 백업을 지울 수 있는 사람이 있으면, 그 사람의 계정이 뚫리는 순간 백업도 함께 사라진다. 그리고 백업을 만드는 운영자는 거의 항상 그 백업을 지울 권한도 갖고 있다. Ransomware 공격이 진화하면서 공격자가 가장 먼저 노리는 게 바로 이 지점이다 — 데이터를 암호화하기 전에 백업부터 삭제한다. 복구 수단을 없애야 몸값 협상이 성립하기 때문이다. Day 1에서 본 Code Spaces 폐업이 정확히 이 시나리오였다.
AWS Backup의 진짜 가치는 "여러 서비스를 한 정책으로 백업한다"는 편의가 아니다 — 그건 DLM도 EBS 한정으로는 한다. AWS Backup의 핵심은 백업을 만든 사람조차 지울 수 없는 격리된 금고(Vault)를 만들고, 그 금고를 별도 계정에 두어 운영 계정이 통째로 침해당해도 백업이 살아남게 하는 것이다. 이 글은 Plan/Vault/Selection이라는 3층 구조가 어떻게 그 불변성을 만들어내는지, Vault Lock의 Compliance 모드가 왜 발급자조차 못 푸는지, PITR이 어떻게 "5초 전"으로 돌아가는지를 파고든다.
AWS Backup의 구성을 처음 보면 용어가 셋이라 복잡해 보인다. Backup Plan(언제·얼마나 보관), Backup Vault(어디에 저장), Backup Selection(무엇을 백업)