Firebase AI Logic, API 키 유출로 54,000유로 과금!

게시글에 따르면, Firebase AI Logic을 활성화한 후 몇 시간 만에 54,000유로가 넘는 Gemini API 과금이 발생했다. 이는 무제한 API 키(Unrestricted API Key) 접근으로 인한 것으로 추정되며, 예산 알림 지연으로 인해 피해 규모가 커졌다. 특히, 자동화된 트래픽(Automated Traffic)으로 인해 실제 사용자 트래픽과 무관하게 과금이 이루어졌다는 점이 문제로 지적된다.

커뮤니티에서는 API 키가 공개된 코드 저장소(Public GitHub)에 하드코딩되어 유출되었을 가능성을 제기한다. 또한, Google이 API 키를 비밀(Secret)로 취급하지 않는 과거 정책을 언급하며, 현재 LLM(Large Language Model) API 키에 대한 보안 인식 부족을 지적한다. API 키 제한(API Key Restriction), HTTP Referrer 제한 등 기본적인 보안 설정을 적용하지 않은 점도 문제로 꼽힌다.

댓글에서는 Google의 과금 정책(Billing Policy)에 대한 비판이 쏟아진다. 특히, 하드 캡(Hard Cap) 부재로 인해 예산 알림이 지연될 경우, 예상치 못한 과금이 발생할 수 있다는 점을 지적한다. 예산 알림(Budget Alert) 설정 외에, Pub/Sub 메시지를 트리거하여 프로젝트의 과금 중단(Disable Billing)을 구현하는 우회적인 방법이 제시되지만, 이는 근본적인 해결책이 될 수 없다는 의견이 지배적이다.

커뮤니티에서는 이러한 과금 문제로 인해 클라우드 서비스에 대한 신뢰도(Trust)가 저하될 수 있다는 우려를 표명한다. 특히, 소규모 개발자나 스타트업의 경우, 예상치 못한 과금으로 인해 프로젝트가 중단될 수 있다는 점을 강조한다. 하드 캡 부재(Absence of Hard Cap)는 개발자들에게 불안감을 조성하며, 장기적으로 클라우드 서비스 생태계에 부정적인 영향을 미칠 수 있다는 지적이다.