Gemini API 요금 5만4천유로, HN은 browser key와 hard cap 문제로 읽었다

HN thread가 뜨거웠던 이유는 Google AI Developers Forum post의 사건이 특이한 보안 사고처럼 보이지 않았기 때문이다. 글쓴이는 기존 Firebase project에 Firebase AI Logic을 켠 뒤, 실제 사용자와 맞지 않는 automated traffic이 발생했고 Gemini API 요금이 몇 시간 사이 €54,000+까지 올라갔다고 썼다. €80 budget alert와 cost anomaly alert를 설정했지만 몇 시간 늦게 도착했고, 팀이 대응했을 때 cost view는 이미 약 €28,000을 가리켰다고 한다.

커뮤니티가 집중한 지점은 단순한 책임 공방이 아니었다. Google 생태계의 일부 browser-visible key는 오랫동안 classic secret이라기보다 restriction을 걸어 쓰는 identifier처럼 다뤄졌다. 하지만 LLM API는 이 위험을 바꾼다. generate endpoint 하나가 automated abuse를 빠르게 큰 비용으로 바꿀 수 있기 때문이다. HN 댓글은 public GitHub에 남아 있는 Gemini 형태의 key, 예전 Firebase 사용 습관, 그리고 budget alert가 spending cap이 아니라는 사실을 small team이 뒤늦게 배우는 문제를 연결했다.

Forum에서 Google 측 답변은 Gemini API billing account cap, project spend cap, 약 10분의 reporting delay를 설명했다. 또한 호출을 server-side로 옮기고, restriction과 cap을 명시적으로 걸라는 방향을 제시했다. 이 정보는 중요하지만 HN의 불만을 완전히 지우지는 못했다. billing data가 늦고 그 사이 service가 request를 계속 받는다면, budget alert는 실시간 브레이크가 아니라 큰 손실 뒤에 오는 알림이 될 수 있다.

실무적인 결론은 분명하다. Gemini, Firebase AI Logic, 혹은 비슷한 client-facing AI feature를 열 때는 server-side mediation, API restriction, quota, spend cap을 launch 전에 먼저 묶어야 한다. 커뮤니티가 본 문제는 cloud billing system이 대규모 metering에는 익숙하지만, 개인 개발자와 작은 팀에게 필요한 emergency brake는 아직 충분히 직관적이지 않다는 점이었다.