기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# GuardDuty의 온디맨드 맬웨어 스캔
<a name="on-demand-malware-scan"></a>

온디맨드 맬웨어 스캔은 Amazon EC2 인스턴스에 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨에 맬웨어가 있는지 탐지하는 데 도움이 됩니다. 구성이 필요하지 않고 스캔하려는 Amazon EC2 인스턴스의 Amazon 리소스 이름(ARN)을 제공하여 온디맨드 맬웨어 스캔을 시작할 수 있습니다. GuardDuty 콘솔 또는 API를 통해 온디맨드 맬웨어 스캔을 시작할 수 있습니다. 온디맨드 맬웨어 스캔을 시작하기 전에 원하는 [스냅샷 보존](malware-protection-customizations.md#mp-snapshots-retention) 설정을 지정할 수 있습니다. 다음 시나리오는 GuardDuty에서 온디맨드 맬웨어 스캔 유형을 사용해야 하는 시기를 식별하는 데 도움이 될 수 있습니다.
+ GuardDuty에서 시작한 맬웨어 스캔을 활성화하지 않고도 Amazon EC2 인스턴스에서 맬웨어의 존재를 탐지하고자 합니다.
+ GuardDuty에서 시작한 맬웨어 스캔을 활성화했고 스캔이 자동으로 간접 호출되었습니다. 생성된 EC2용 맬웨어 보호 발견 유형에 대한 권장 해결 방법을 따른 후 동일한 리소스에서 검사를 시작하려는 경우, 이전 검사 시작 시간으로부터 1시간이 경과한 후 주문형 멀웨어 검사를 시작할 수 있습니다.

  온디맨드 맬웨어 스캔의 경우 이전 맬웨어 스캔이 시작된 시점으로부터 24시간이 경과하지 않아도 됩니다. 동일한 리소스에서 온디맨드 맬웨어 스캔을 시작하려면 1시간이 지나야 합니다. 동일한 EC2 인스턴스에서의 맬웨어 스캔 중복을 방지하려면 [이전에 스캔한 Amazon EC2 인스턴스 재스캔](initiate-on-demand-scan-on-same-resource.md) 섹션을 참조하세요.

**참고**  
온디맨드 맬웨어 스캔은 GuardDuty의 30일 무료 평가판 기간에 포함되어 있지 않습니다. 사용 비용은 각 맬웨어 스캔에 대해 스캔한 총 Amazon EBS 볼륨에 적용됩니다. 자세한 내용은 [Amazon GuardDuty 요금](https://aws.amazon.com/guardduty/pricing/#Pricing_by_region)을 참조하세요. Amazon EBS 볼륨 스냅샷 비용 및 보존에 대한 자세한 내용은 [Amazon EBS 요금](https://aws.amazon.com/ebs/pricing/)을 참조하세요.

## 온디맨드 맬웨어 스캔 작동 방식
<a name="how-odmalscan-works-in-gdu"></a>

온디맨드 맬웨어 스캔을 사용하면 Amazon EC2 인스턴스를 현재 사용 중인 경우에도 해당 인스턴스의 맬웨어 스캔 요청을 시작할 수 있습니다. 온디맨드 맬웨어 스캔을 시작한 후에는 GuardDuty가 스캔을 위해 Amazon 리소스 이름(ARN)이 제공된 Amazon EC2 인스턴스에 연결된 Amazon EBS 볼륨의 스냅샷을 생성합니다. 다음으로 GuardDuty는 이 스냅샷을 [GuardDuty 서비스 계정](gdu-service-account-region-list.md)와 공유합니다. GuardDuty는 GuardDuty 서비스 계정에서 이러한 스냅샷으로부터 암호화된 EBS 볼륨 복제본을 생성합니다. Amazon EBS 볼륨 스캔 방식에 대한 자세한 내용은 [GuardDuty가 맬웨어 탐지를 위해 EBS 볼륨을 스캔하는 방법](guardduty_malware_protection-ebs-volume-data.md) 섹션을 참조하세요.

**참고**  
GuardDuty는 온디맨드 맬웨어 스캔을 시작하는 시점에 Amazon EBS 볼륨에 이미 기록된 데이터의 스냅샷을 생성합니다.

맬웨어가 발견되고 스냅샷 보존 설정을 활성화한 경우 EBS 볼륨의 스냅샷은 AWS 계정에 자동으로 보관됩니다. 온디맨드 맬웨어 스캔은 [EC2용 맬웨어 보호 결과 유형](findings-malware-protection.md)을 생성합니다. 맬웨어가 없는 경우 스냅샷 보존 설정과 무관하게 EBS 볼륨의 스냅샷이 삭제됩니다.

GuardDuty는 Amazon EC2 리소스에 추가하고 태그 값을 `true`로 설정할 수 있는 글로벌 태그 키 `GuardDutyExcluded`를 사용합니다. 이 태그 키와 값 페어가 있는 이 Amazon EC2 리소스는 맬웨어 스캔에서 제외됩니다. 두 검사 유형(GuardDuty 시작 멀웨어 검사 및 주문형 멀웨어 검사)은 모두 글로벌 태그를 지원합니다. Amazon EC2에서 온디맨드 맬웨어 스캔을 시작하면 스캔 ID가 생성됩니다. 하지만 스캔은 `EXCLUDED_BY_SCAN_SETTINGS` 이유와 함께 건너뜁니다. 자세한 내용은 [맬웨어 스캔 중에 리소스를 건너뛴 이유](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons) 단원을 참조하십시오.

# GuardDuty에서 온디맨드 맬웨어 스캔 시작
<a name="malware-protection-getting-started-on-demand-scan"></a>

이 섹션에서는 주문형 맬웨어 검사를 시작하기 전에 필요한 사전 요구 사항 목록과 리소스에서 검사를 처음 시작하는 단계를 제공합니다.

GuardDuty 관리자 계정은 계정에 다음과 같은 사전 조건이 설정된 활성 멤버 계정을 대신하여 온디맨드 맬웨어 스캔을 시작할 수 있습니다. GuardDuty의 독립형 계정 및 활성 멤버 계정은 자체 Amazon EC2 인스턴스에 대한 온디맨드 맬웨어 스캔을 시작할 수도 있습니다.

## 사전 조건
<a name="prerequisites-on-demand-malware-scan"></a>

온디맨드 맬웨어 스캔을 시작하기 전에 계정이 다음 사전 조건을 충족해야 합니다.
+ 온디맨드 맬웨어 스캔을 시작하려는 AWS 리전 에서 GuardDuty를 활성화해야 합니다.
+ [AWS 관리형 정책: AmazonGuardDutyFullAccess\$1v2 (권장)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2)가 IAM 사용자 또는 IAM 역할에 연결되어 있어야 합니다. IAM 사용자 또는 IAM 역할과 연결된 액세스 키와 보안 암호 키가 필요합니다.
+ 위임된 GuardDuty 관리자 계정으로 활성 멤버 계정을 대신하여 주문형 맬웨어 검사를 시작할 수 있는 옵션이 있습니다.
+ 온디맨드 맬웨어 스캔을 시작하기 전에 지난 1시간 동안 동일한 리소스에서 스캔이 시작되지 않았는지 확인합니다. 시작된 경우 중복으로 제외됩니다. 자세한 내용은 [이전에 스캔한 Amazon EC2 인스턴스 재스캔](initiate-on-demand-scan-on-same-resource.md) 단원을 참조하십시오.
+ [EC2용 맬웨어 보호에 대한 서비스 연결 역할 권한](slr-permissions-malware-protection.md)이 없는 멤버 계정인 경우 계정에 속한 Amazon EC2 인스턴스에서 온디맨드 맬웨어 스캔을 시작하면 EC2용 맬웨어 보호에 대한 SLR이 자동으로 생성됩니다.

**중요**  
맬웨어 검사가 아직 진행 중일 때에는 누구도 [EC2용 멀웨어 보호에 대한 SLR 권한](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions-malware-protection.html#delete-slr)을 삭제하지 못도록 해야합니다. 이 맬웨어 스캔은 GuardDuty에서 시작하거나 온디맨드 방식으로 시작할 수 있습니다. SLR을 삭제하면 스캔이 성공적으로 완료되지 않고 확실한 스캔 결과를 제공하지 못합니다.

## 온디맨드 맬웨어 스캔 시작
<a name="malware-protection-initiate-on-demand-malware-scan"></a>

GuardDuty 콘솔을 통해 또는를 사용하여 계정에서 온디맨드 맬웨어 스캔을 시작할 수 있습니다 AWS CLI. 스캔을 시작할 Amazon EC2 Amazon 리소스 이름(ARN)을 제공해야 합니다. 자세한 단계는 다음 섹션의 콘솔 및 API/AWS CLI 지침 모두에 나와 있습니다.

원하는 액세스 방법을 선택하여 온디맨드 맬웨어 스캔을 시작하세요.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

1. 다음 옵션 중 하나를 사용하여 스캔을 시작합니다.

   1. **EC2용 맬웨어 보호** 페이지 사용:

      1. 탐색 창의 **보호 플랜**에서 **EC2용 맬웨어 보호를** 선택합니다.

      1. **EC2용 맬웨어 보호** 페이지에서 스캔을 시작하려는 **Amazon EC2 인스턴스 ARN**1을 입력합니다.

   1. **맬웨어 스캔** 페이지 사용:

      1. 탐색 창에서 **맬웨어 스캔**을 선택합니다.

      1. **온디맨드 스캔 시작**을 선택하고 스캔을 시작하려는 **Amazon EC2 인스턴스 ARN**1을 입력합니다.

      1. 다시 스캔하는 경우 **맬웨어 스캔** 페이지에서 **Amazon** EC2 인스턴스 ID를 선택합니다.

         **온디맨드 스캔 시작** 드롭다운을 확장하고 **선택한 인스턴스 다시 스캔**을 선택합니다.

1. 한 가지 방법을 사용하여 스캔을 성공적으로 시작하면 스캔 ID가 생성됩니다. 이 스캔 ID를 사용하여 스캔 진행 상황을 추적할 수 있습니다. 자세한 내용은 [맬웨어 스캔 상태 및 결과 모니터링](malware-protection-scans.md) 단원을 참조하십시오.

------
#### [ API/CLI ]

온디맨드 맬웨어 스캔을 시작하려는 Amazon EC2 인스턴스1의 `resourceArn`을 수락하는 [StartMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StartMalwareScan.html)을 간접적으로 호출합니다.

```
aws guardduty start-malware-scan --resource-arn "arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f"
```

스캔을 성공적으로 시작하면 `StartMalwareScan`에서 `scanId`를 반환합니다. [DescribeMalwareScans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeMalwareScans.html)를 간접적으로 호출하여 시작된 스캔의 진행 상황을 모니터링합니다.

------

1Amazon EC2 인스턴스 ARN의 형식에 대한 자세한 내용은 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 참조하세요. Amazon EC2 인스턴스의 경우 파티션, 리전, AWS 계정 ID 및 Amazon EC2 인스턴스 ID의 값을 바꿔 다음 예시 ARN 형식을 사용할 수 있습니다. 인스턴스 ID의 길이에 대한 자세한 내용은 [리소스 ID](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/resource-ids.html)를 참조하세요.

```
arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f
```

### AWS Organizations 서비스 제어 정책 - 액세스 거부
<a name="malware-protection-on-demand-scan-org-scp"></a>

에서 [서비스 제어 정책(SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) AWS Organizations을 사용하면 위임된 GuardDuty 관리자 계정이 권한을 제한하고 계정이 소유한 Amazon EC2 인스턴스에 대한 온디맨드 맬웨어 스캔을 시작하는 등의 작업을 거부할 수 있습니다.

GuardDuty 멤버 계정으로서 Amazon EC2 인스턴스에 대한 온디맨드 맬웨어 스캔을 시작하면 오류가 발생할 수 있습니다. 관리 계정에 연결하여 멤버 계정에 SCP가 설정된 이유를 이해할 수 있습니다. 자세한 내용은 [권한에 대한 SCP 효과](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions)를 참조하세요.

# 이전에 스캔한 Amazon EC2 인스턴스 재스캔
<a name="initiate-on-demand-scan-on-same-resource"></a>

스캔이 GuardDuty로 시작되든 주문형으로 시작되든, 이전 맬웨어 스캔의 시작 시간으로부터 1시간 후에 동일한 Amazon EC2 인스턴스에서 새로운 주문형 멀웨어 스캔을 시작할 수 있습니다. 이전 맬웨어 스캔을 시작한 지 1시간 이내에 새 맬웨어 스캔이 시작되면 요청에서 다음 오류가 발생하고, 이 요청에 대한 스캔 ID가 생성되지 않습니다.

`A scan was started on this resource recently. You can request a scan on the same resource one hour after the previous scan start time.`

인스턴스를 다시 스캔하는 단계는 온디맨드 맬웨어 스캔을 처음 시작하는 단계와 동일합니다. 단계에 대한 자세한 설명은 [온디맨드 맬웨어 스캔 시작](malware-protection-getting-started-on-demand-scan.md#malware-protection-initiate-on-demand-malware-scan) 섹션을 참조하세요.

맬웨어 스캔 상태를 추적하려면 [EC2용 맬웨어 보호의 검사 상태 및 결과 모니터링](malware-protection-scans.md) 섹션을 참조하세요.