기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 백업용 맬웨어 보호는 어떻게 작동하나요?
<a name="malware-protection-backup-how-it-works"></a>

이 섹션에서는 백업용 맬웨어 보호의 구성 요소, 작동 방식, 맬웨어 스캔 상태 및 결과를 검토하는 방법을 설명합니다.

## 개요
<a name="malware-protection-backup-overview"></a>

백업용 맬웨어 보호는 EBS 스냅샷, EC2 이미지(AMI) 및 EBS, EC2 및 S3 리소스 유형에 속하는 복구 시점에 맬웨어가 있는지 감지하는 데 도움이 되는 기능입니다. 스캔 범주에 따라 하나 또는 두 개의 리소스 ARNs과 함께 스캔에 필요한 권한을 제공하는 IAM 역할을 전달하여 GuardDuty 콘솔 또는 API를 통해 온디맨드 맬웨어 스캔을 시작할 수 있습니다. 전체 스캔과 증분 스캔이라는 두 가지 스캔 범주가 가능합니다.

### 전체 스캔 및 증분 스캔
<a name="malware-protection-backup-scan-types"></a>

전체 스캔은 API가 리소스 ARN을 수락하고 해당 리소스 내의 모든 파일을 스캔하는 것입니다. 반면 증분 스캔은 동일한 리소스에 속하는 두 개의 리소스 ARNs을 가져와서 이들 간에 변경된 파일을 스캔합니다. 예를 들어 EBS 볼륨의 스냅샷을 생성한다고 가정해 보겠습니다. 이를 *snapshot-1*이라고 부릅니다. 이 스냅샷에서 전체 스캔이 완료되면 GuardDuty는이 스냅샷에 포함된 모든 파일을 스캔합니다. 이제 몇 개의 파일이 동일한 볼륨에 추가되었고 새 스냅샷이 생성되었다고 가정해 보겠습니다. 이를 *snapshot-2*라고 부릅니다. *스냅샷-1*과 *스냅샷-2* 간에 몇 개의 파일만 변경되었으므로이 두 스냅샷의 리소스 ARNs. 이 경우 *snapshot-2*를 `target` 리소스라고 하고 *snapshot-1*을 `base` 리소스라고 합니다. 이 용어는 문서의 나머지 부분에서 사용됩니다. 이 증분 스캔은 *스냅샷-1과 스냅샷-**2* 간에 변경된 파일을 스캔합니다.

### 증분 스캔에서 이전에 감염된 파일 재스캔
<a name="malware-protection-backup-rescanning-infected-files"></a>

증분 스캔의 일부로 GuardDuty는 최대 365일 동안 기본 스캔에서 이전에 감염된 파일도 다시 스캔합니다.

### 증분 스캔 요구 사항
<a name="malware-protection-backup-incremental-requirements"></a>

GuardDuty가 증분 스캔을 수행하려면 다음 요구 사항을 충족해야 합니다. 이러한 요구 사항 중 하나라도 충족되지 않으면 GuardDuty는 스캔을 건너뜁니다.
+ 기본 리소스는 지난 365일 이내에 스캔해야 하며 스캔 결과는 `COMPLETED` 또는에 있어야 합니다`COMPLETED_WITH_ISSUES`.
+ 기본 리소스의 생성 날짜가 대상 리소스의 생성 날짜보다 이전이어야 합니다.
+ 스냅샷의 경우 기본 리소스와 대상 리소스의 암호화 유형이 동일해야 합니다.
+ 기본 리소스와 대상 리소스는 동일한 계보에서 가져와야 합니다.
  + EBS 스냅샷 및 EBS 복구 시점의 경우 암호화 유형을 변경하지 않고 동일한 볼륨 또는 동일한 볼륨의 복사본에서 가져온다는 의미입니다.
  + S3 복구 시점의 경우 동일한 기본 S3 버킷에서 기본 및 대상 리소스 ARNs을 생성해야 합니다.
  + AMIs의 경우 기본 AMI와 대상 AMI 간에 스냅샷 쌍을 비교하여 증분 스캔의 스냅샷을 식별합니다. 각 스냅샷 페어는 위에서 언급한 조건을 충족해야 합니다. 기본 AMI에 일치하는 해당 스냅샷이 없는 대상 AMI 내의 모든 스냅샷은 건너뜁니다.

### 이전에 스캔한 백업 리소스 재스캔
<a name="malware-protection-backup-rescanning-resources"></a>

이전 맬웨어 스캔 시작 시간으로부터 10분 후에 동일한 리소스에서 새 온디맨드 맬웨어 스캔을 시작할 수 있습니다. 이전 맬웨어 스캔을 시작한 후 10분 이내에 새 맬웨어 스캔이 시작되면 요청에 다음 오류가 발생하고이 요청에 대한 스캔 ID가 생성되지 않습니다. 인스턴스를 다시 스캔하는 단계는 온디맨드 맬웨어 스캔을 처음 시작하는 단계와 동일합니다.

## 스캔에 필요한 IAM 역할
<a name="malware-protection-backup-iam-role-required"></a>

전체 또는 증분 스캔을 시작하려면 IAM 역할을 전달해야 합니다. 이 역할은 스캔 작업을 수행하는 데 필요한 권한을 제공합니다.는 스캔을 수행하는 데 필요한 관련 신뢰 정책과 함께 필요한 정확한 권한 목록을 [백업을 위한 GuardDuty 맬웨어 보호: IAM 역할 권한](malware-protection-backup-iam-permissions.md) 제공합니다.

## 리소스 스캔 상태 및 결과 검토
<a name="malware-protection-backup-reviewing-scan-status"></a>

GuardDuty는 스캔 결과 이벤트를 Amazon EventBridge 기본 이벤트 버스에 게시합니다. GuardDuty는 at-least-once 전송을 사용하므로 동일한 객체에 대해 여러 스캔 결과를 받을 수 있습니다. 중복 결과를 처리하도록 애플리케이션을 설계하는 것이 좋습니다. 스캔한 각 객체에 요금은 한 번만 청구됩니다.

자세한 내용은 [백업용 맬웨어 보호의 스캔 상태 및 결과 모니터링](monitoring-malware-protection-backup-scans.md) 단원을 참조하십시오.

## 생성된 조사 결과 검토
<a name="malware-protection-backup-reviewing-findings"></a>

조사 결과 검토는 GuardDuty에서 백업용 맬웨어 보호를 사용하는지 여부에 따라 달라집니다. 다음 시나리오를 고려해 보세요.

**GuardDuty 서비스가 활성화된 경우 백업용 맬웨어 보호 사용(감지기 ID)**

맬웨어 스캔이 스캔한 백업 리소스에서 잠재적으로 악성인 파일을 감지하면 GuardDuty가 관련 결과를 생성합니다. 조사 결과를 자세히 보고 권장 단계를 사용하여 조사 결과를 잠재적으로 수정할 수 있습니다. [결과 내보내기 빈도](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency)에 따라 생성된 결과는 S3 버킷 및 Amazon EventBridge 이벤트 버스로 내보내집니다.

생성되는 결과 유형에 대한 자세한 내용은 백업용 맬웨어 보호의 [백업 조사 결과 유형에 대한 맬웨어 보호](findings-malware-protection-backup.md) 결과 유형을 참조하세요.

**백업용 맬웨어 보호를 독립적인 기능으로 사용(감지기 ID 없음)**

연결된 감지기의 ID가 없기 때문에 GuardDuty가 조사 결과를 생성할 수 없습니다. 백업 리소스의 스캔 상태를 확인하려면 GuardDuty가 기본 이벤트 버스에 자동으로 게시하는 스캔 결과를 볼 수 있습니다.

스캔 상태 및 결과에 대한 자세한 내용은 섹션을 참조하세요[백업용 맬웨어 보호의 스캔 상태 및 결과 모니터링](monitoring-malware-protection-backup-scans.md).

**참고**  
 S3용 맬웨어 보호도 사용하는 경우 S3 파일에 이전에 NO\$1THREATS\$1FOUND 태그가 지정되었지만 객체가 속한 백업 복구 시점의 위협 목록에 동일한 파일이 표시될 수 있습니다. 이는 서비스가 맬웨어 서명을 자주 업데이트하여 파일 상태를 변경했을 수 있기 때문입니다. 이러한 경우 GuardDuty는 원래 S3 버킷의 파일에서 뒤로 돌아가서 태그를 업데이트하지 않습니다. 파일에 업데이트된 태그를 적용하는 유일한 방법은 객체를 버킷에 다시 업로드하거나 S3에 대한 온디맨드 스캔 기능을 사용하는 것입니다.