13시간 만에 €54,000 과금 폭증: API 제한 없는 Firebase 브라우저 키로 Gemini API 호출 발생

• Firebase 브라우저 키가 API 제한 없이 노출되어 외부에서 Gemini API 요청이 자동 발생, 단시간 내 막대한 과금이 발생
• 실제 사용자 트래픽과 무관하게 13시간 동안 €54,000 이상의 비용이 청구되었으며, 비용 경보가 지연 발동되어 대응이 늦어짐
• Google Cloud 지원팀은 해당 요청을 정상 사용(valid usage) 으로 분류해 요금 조정 요청을 거부함
• Google은 지출 한도, 인증 키, 자동 키 차단, 선불 결제 등 보호 기능을 도입하고, 무제한 키 사용을 단계적으로 중단할 예정
• 개발자는 클라이언트 코드에 키를 포함하지 말고, API 키 제한 및 예산 한도 설정을 반드시 적용해야 함

Firebase 브라우저 키 노출로 인한 Gemini API 과금 급등 사례

• 사건 개요

  • 기존 Firebase Authentication만 사용하던 프로젝트에서 Firebase AI Logic을 활성화한 직후 Gemini API 사용량이 급증
  • 실제 사용자 트래픽과 무관한 자동화된 요청이 단시간 내 발생해 약 13시간 동안 €54,000 이상의 과금이 발생
  • API를 비활성화하고 자격 증명(credential)을 회전한 후 비정상 트래픽이 중단됨
  • 예산 경보(€80) 및 비용 이상 탐지 경보가 수 시간 지연되어 발동, 대응 시점에는 이미 €28,000 수준의 비용 발생
  • 최종 청구 금액은 지연된 비용 보고로 €54,000 이상으로 확정됨

• Google Cloud 지원 결과

  • 로그와 분석 자료를 제출했으나, 요청이 프로젝트에서 발생한 유효 사용(valid usage) 으로 분류되어 요금 조정 요청이 거부됨
  • 해당 사용은 비정상적이며 사용자 주도 트래픽이 아님에도 불구하고, 시스템상 정상 과금으로 처리됨

• 사용자 문의 사항

  • Firebase AI Logic 또는 Gemini 활성화 후 유사 사례 존재 여부를 질문
  • App Check, 쿼터, 서버사이드 호출 이전 외에 추가적인 보호 수단이 있는지 문의
  • 이러한 경우에 대한 추가 이의 제기 경로(escalation path) 존재 여부 질의

Google 측 응답 (Logan Kilpatrick)

• 과금 및 사용 제한 기능

  • Gemini API 사용자용 과금 한도(billing account caps) 가 도입되어 있으며, Tier 1 사용자는 월 $250 한도 이후 자동 차단
  • 프로젝트 단위 지출 한도(project spend caps) 설정 가능, 예시로 개인 계정은 $50로 제한 설정
  • 모든 과금 보고에는 약 10분의 지연 시간 존재

• API 키 보안 및 변경 사항

  • 제한 없는 API 키(unrestricted key)사용은 곧Gemini API에서 비활성화 예정

    • 신규 사용자는 기본적으로 인증 키(Auth key) 가 생성되며, 이는 과거보다 보안성이 강화된 형태
    • 클라이언트 코드에 키를 포함하지 말 것, 노출 시 비용이 발생할 수 있음
    • 공개 웹에서 키가 노출되면 자동 감지 후 비활성화되는 기능이 존재하며, 실제로 몇 분 내 차단된 사례 있음

• 키 제한 및 서비스 범위

  • Google AI Studio에서 생성된 키는 기본적으로Gemini API 전용으로 제한

    • 반면 Google Cloud Console 등 다른 경로에서 생성된 키는 여러 서비스 접근 가능, 필요 시 서비스별 제한 설정 필요

• 추가 조치 및 향후 계획

  • 문제 사례 검토를 위해 직접 이메일(Lkilpatrick@google.com) 로 연락 요청
  • 선불 과금(prepaid billing) 제도가 도입되어 사용 전 결제 방식으로 전환 중
  • 현재 미국 신규 계정에 적용 완료, 전 세계로 단계적 확대 중
  • 이러한 조치는 개발자의 비용 통제 및 예기치 않은 과금 방지 강화를 목표로 함