Gemini API 공식 업데이트
Google AI Studio
Gemini API 지출 한도,
이 조건에서는 뚫립니다
2026년 3월 16일, 구글이 Gemini API에 월별 지출 한도(Project Spend Caps) 기능을 공식 도입했습니다. 그런데 공식 문서에는 이 한도가 “약 10분 지연”으로 작동한다고 명시돼 있습니다. 지난 2월, 멕시코의 3인 스타트업은 API 키 하나가 유출되면서 48시간 만에 $82,314라는 청구서를 받았습니다. 월 정상 지출액의 455배였습니다. 지출 한도가 생긴 지금도 그 조건이 그대로 살아있습니다.
지출 한도가 생겼는데, 왜 걱정이 사라지지 않을까요?
구글이 2026년 3월 16일 Gemini API에 Project Spend Caps(프로젝트 지출 한도)를 공식 도입했습니다. 말 그대로 프로젝트별로 월 지출 상한선을 직접 설정할 수 있는 기능입니다. 이것만 보면 이제 청구 폭탄 걱정은 끝난 것처럼 보입니다.
그런데 공식 발표 문서(blog.google, 2026.03.16)를 직접 읽어보면 이런 문장이 나옵니다. “Spend caps have a ~10 minute delay and users are responsible for overages incurred during that period.” 번역하면 지출 한도는 약 10분의 감지 지연이 있으며, 그 사이에 발생한 초과 청구는 사용자 책임이라는 뜻입니다.
이 문장 하나가 이 기능 전체의 실효성을 결정합니다. 특히 API 키가 유출된 상황에서 자동화된 공격은 10분 안에 수십만 원에서 수백만 원을 소진하고도 남습니다. 안심하기엔 이른 이유가 여기에 있습니다.
Project Spend Caps, 공식 문서에서 직접 확인한 내용
이번 업데이트에서 Google이 도입한 기능은 크게 두 가지 층위로 나뉩니다. 먼저 프로젝트 수준의 지출 한도는 개발자가 Google AI Studio의 ‘Spend’ 탭에서 직접 설정하는 방식입니다. 이 한도는 설정 후 별도로 해제하지 않는 한 매월 유지됩니다.
💡 공식 발표문과 실제 청구 흐름을 같이 놓고 보니 이런 차이가 보였습니다
구글이 ‘시스템이 자동으로 보호한다’는 Billing Account Tier Cap은 사용자가 설정하는 게 아닙니다. 등급이 올라갈수록 이 시스템 한도가 자동으로 높아집니다. 즉 Tier가 올라갈수록 잠재적 최대 청구 금액도 함께 커지는 구조입니다.
두 번째는 Usage Tier 전면 개편입니다. 이전에는 높은 등급으로 올라가려면 수동으로 요청해야 했습니다. 이제는 지출 이력이 쌓이면 자동으로 다음 Tier로 업그레이드됩니다. 공식 문서(ai.google.dev/gemini-api/docs/rate-limits, 2026.03.16 기준)에 따르면 Tier 2 진입 조건은 누적 지출 $250 이상에 결제 계정 활성화 후 30일 이상입니다.
| 등급 | 진입 조건 | RPM (Gemini 3 Flash 기준) | 업그레이드 방식 |
|---|---|---|---|
| Free | 결제 계정 불필요 | 15 RPM | — |
| Tier 1 | 결제 계정 연동 | 2,000 RPM | 자동 (즉시) |
| Tier 2 | 누적 지출 $250+ 및 30일+ | 출시 예정 | 자동 (신규) |
(출처: Google AI for Developers 공식 문서, 2026.03.16 기준 — ai.google.dev/gemini-api/docs/rate-limits)
Free에서 Tier 1으로 넘어가는 순간 RPM이 15에서 2,000으로 133배 뛰는데, 이는 같은 API 키가 유출되더라도 Free 등급일 때보다 훨씬 빠른 속도로 사용량이 소진된다는 것을 의미합니다.
$82,314 청구서 — 실제로 어떻게 일어났는가
2026년 2월 11~12일, 멕시코에 거주하는 3인 개발팀의 Google Cloud API 키가 유출됐습니다. 공격자는 이 키로 Gemini 3 Pro Image와 Gemini 3 Pro Text를 집중적으로 호출했고, 48시간 만에 $82,314.44를 소진했습니다. 이 팀의 정상 월 지출은 $180이었습니다. 455배입니다. (출처: The Register, 2026.03.03 / Reddit r/googlecloud, 2026.02.25)
개발자는 키를 즉시 삭제하고 API를 비활성화했지만, 구글 지원팀은 “공유 책임 모델” 원칙을 근거로 청구 취소를 거부했습니다. 구글은 플랫폼 보안을 담당하고, 키 관리 책임은 사용자에게 있다는 입장이었습니다.
⚠️ 이 사건을 더 복잡하게 만든 구조적 문제
보안 리서치 업체 Truffle Security가 수백만 개의 웹사이트를 스캔한 결과, 2,863개의 유효한 Google API 키가 공개 노출된 상태였습니다. 이 키들은 원래 Firebase, Maps 등의 공개 식별자로 설계됐지만, Gemini가 도입되면서 해당 키로 API 비용 청구까지 가능해졌습니다. Google 자체 제품 웹사이트에서도 2023년부터 공개된 키가 발견됐습니다. (출처: The Register, 2026.03.03)
구글은 이 취약점을 처음엔 “의도된 동작”으로 분류했다가 2025년 12월에야 버그로 재분류했고, 2026년 2월 기준으로도 근본 원인 수정은 진행 중이었습니다. 이런 배경 속에서 3월 16일에 지출 한도 기능이 나온 것입니다.
Tier 자동 업그레이드, 알고 보면 리스크가 커지는 구조
이번 개편에서 구글이 강조한 것 중 하나가 “자동·빠른 Tier 업그레이드”입니다. 결제 이력이 쌓이면 시스템이 자동으로 상위 등급으로 올려준다는 내용인데, 이걸 단순히 좋은 소식으로만 보기 어렵습니다.
💡 두 발표를 나란히 읽으면 이런 흐름이 보입니다
Tier가 올라가면 RPM 한도가 높아집니다. RPM이 높아지면 같은 시간에 더 많은 요청이 가능해집니다. 공격자가 유출된 키를 이용한다면 Tier 1보다 Tier 2에서 같은 시간에 훨씬 더 많은 비용을 소진할 수 있습니다. 자동 업그레이드가 공격 시 피해 규모의 상한선을 함께 높인다는 얘기입니다.
더 주목할 부분은 Billing Account Tier Cap입니다. 이 시스템 한도는 사용자가 직접 설정한 Project Spend Cap과 별개로 작동하며, Tier가 높아질수록 자동으로 상향됩니다. 공식 문서에는 이 한도의 구체적 금액이 나와 있지 않습니다 — “확인 필요” 상태입니다.
현실적으로는 Project Spend Cap을 낮게 설정해 두는 것이 최선이지만, 그렇게 하면 정상 사용량이 갑자기 늘었을 때 서비스가 멈출 수도 있습니다. 비용 통제와 서비스 연속성 사이에서 직접 선을 그어야 하는 것입니다. 구글이 대신 결정해 주지 않습니다.
새로운 결제 대시보드, 실제로 뭐가 달라졌나요
이번 업데이트에서 구글은 Google AI Studio 내에 세 가지 대시보드를 새로 출시했습니다. 기존에는 결제 정보를 확인하려면 Google Cloud Console, Google AI Studio, 결제 관리 화면을 따로 열어야 했습니다. 이제는 AI Studio 안에서 대부분을 처리할 수 있습니다. (출처: Google 공식 블로그 blog.google, 2026.03.16)
RPM·TPM·RPD 세 지표를 프로젝트별로 실시간 모니터링. 급증 트래픽을 그래프로 확인 가능.
프로젝트별·모델별 일별 지출 내역. 최근 7일~한 달 범위로 필터 가능.
요청 수·에러율·토큰 사용량·Imagen·Veo 요청까지 통합 조회.
솔직히 말하면 이 대시보드들은 사후 확인에 유용합니다. 이미 이상 요청이 발생한 다음에 빠르게 파악하는 데는 도움이 됩니다. 하지만 지출 한도 자체의 10분 지연 문제는 해결하지 못합니다. 대시보드를 매일 들어가서 보지 않는 이상, 이상 감지는 결국 이메일 알림과 Cloud Monitoring 설정에 의존해야 합니다.
지금 당장 해야 할 설정 — 공식 경로 기준
구글의 공식 권고와 실제 피해 사례를 교차 분석해서 현실적인 우선순위를 정리했습니다. 중요도 순서입니다.
프로젝트 지출 한도 즉시 설정
Google AI Studio → Spend 탭 → Monthly spend cap. 운영 중 서비스라면 정상 월 지출의 2~3배 수준으로 설정하는 것이 적절합니다. 너무 낮게 잡으면 트래픽 급증 시 서비스 중단 가능성이 있습니다.
API 키 노출 여부 확인
Truffle Security의 오픈소스 스캐너 TruffleHog로 코드 저장소, CI/CD 파이프라인, 공개 웹 자산을 스캔합니다. AIza로 시작하는 문자열이 GitHub, S3 공개 버킷, HTML 소스에 있는지 확인하세요.
Cloud Monitoring 이메일 알림 설정
지출 한도의 10분 지연 문제를 보완하려면 Google Cloud Console에서 예산 알림을 별도로 설정해야 합니다. 예산의 50%, 90%, 100% 도달 시 이메일이 오도록 구성하면 이상 징후를 더 빨리 잡을 수 있습니다.
API 키 제한 범위 축소
Google Cloud Console에서 API 키에 HTTP 리퍼러 제한 또는 IP 제한을 걸어두면 키가 유출돼도 피해 범위가 줄어듭니다. 프론트엔드에서 직접 Gemini API를 호출하는 구조라면 서버 사이드로 전환하는 것을 권장합니다.
이 네 가지를 다 해도 10분 지연 공백은 남습니다. 그 10분이 얼마나 큰 금액이 될 수 있는지는 위의 $82,314 사례가 잘 보여줍니다. 가장 확실한 방법은 API 키 자체가 노출되지 않는 아키텍처를 구성하는 것입니다.
자주 묻는 질문
마치며
이번 Project Spend Caps 도입은 분명히 진전입니다. 기존에는 아예 없던 기능이었으니까요. 구글이 $82,314 피해 사례가 터진 직후 이 기능을 내놓은 것은 우연으로 보기 어렵습니다. 다만 10분 지연이라는 공백은 분명히 존재하고, 그 사이 피해는 사용자 책임으로 명시돼 있습니다.
솔직히 Tier 자동 업그레이드 기능은 개발 편의성을 높이면서 동시에 노출 시 피해 상한선을 높이는 양날의 검입니다. 구글이 이 부분을 더 투명하게 공개하지 않는 것이 좀 아쉬웠습니다. Project Spend Cap의 금액을 합리적으로 설정하고, Cloud Monitoring 알림을 별도로 걸어두고, API 키를 코드에서 분리하는 세 가지를 지금 바로 점검하는 것을 권장합니다.
지출 한도 기능 자체는 실제로 세팅하는 데 1~2분이면 충분합니다. 안 할 이유가 없습니다.
📎 본 포스팅 참고 자료
- Google 공식 블로그 — Giving you more transparency and control over your Gemini API costs (2026.03.16) blog.google
- Google AI for Developers — Gemini API 결제 공식 문서 ai.google.dev/gemini-api/docs/billing
- Google AI for Developers — 비율 제한 공식 문서 ai.google.dev/gemini-api/docs/rate-limits
- The Register — Dev stunned by $82K Gemini API key bill after theft (2026.03.03) theregister.com
- Truffle Security — Google API Keys Weren’t Secrets, but Then Gemini Changed the Rules (2026.02.25) trufflesecurity.com
본 포스팅은 2026년 3월 18일 기준으로 작성되었습니다. 본 포스팅 작성 이후 Gemini API 서비스 정책·결제 구조·UI·기능이 변경될 수 있습니다. 최신 정보는 공식 문서에서 확인하세요.
댓글 남기기