목차
API 게이트웨이를 도입할 때 가장 어려운 부분 중 하나는 바로 '비용 예측'입니다. 특히 API 트래픽 보안을 강화할수록 예상치 못한 추가 비용이 발생하기 쉽습니다. 월 호출 수, 보안 옵션, 로그 보관 정책 등 복잡한 변수들 때문에 과금 폭탄을 맞을 수도 있죠.
이 글에서는 대표적인 API 관리 플랫폼인 Google Apigee와 Microsoft Azure API Management(APIM)의 과금 정책을 집중적으로 비교 분석하여, 숨겨진 비용을 피하고 합리적인 예산을 수립할 수 있도록 돕는 API 트래픽 보안 과금 정책 가이드를 제시합니다.
결론부터 말하면, 월 API 비용은 기본 호출료 + 보안 애드온 + 트래픽 초과 비용 + 로그 보관료의 합으로 계산해야 합니다. 이제부터 각 항목을 자세히 살펴보겠습니다.
1. 핵심 과금 단위 비교: 호출당 vs. 단위(노드) 기반
두 플랫폼의 가장 큰 차이점은 과금의 기준이 되는 단위입니다.
- Google Apigee (종량제): Apigee는 주로 API 호출 횟수에 따라 비용이 결정됩니다. 과금의 핵심 축은 ① API 프록시 호출당 단가, ② 환경 사용료(시간당), ③ 프록시 배포 유닛입니다. Advanced API Security 같은 고급 기능은 애드온으로 별도 구매해야 합니다.
- Azure API Management (v2): Azure APIM은 단위(노드) 기반으로 월 고정 비용이 발생합니다. SKU(플랜)별로 월간 포함되는 API 요청량이 정해져 있으며(예: Basic v2 1천만 건, Standard v2 5천만 건), 이 양을 초과하면 100만 요청 단위로 추가 비용이 발생합니다.
플랫폼별 과금 단위 요약표
| 플랫폼 | 단가 기준 (호출/환경/배포) | 보안 기능 포함 여부 (WAF/Bot/mTLS) | 로그 보존 정책 | SLA |
|---|---|---|---|---|
| Apigee (PAYG) | 호출당 과금 (구간별 할인 적용) 환경 사용료 (시간당) 배포 유닛 (포함량 초과 시 시간당) |
WAF/Bot: 미포함 (Cloud Armor 연동 권장) mTLS: 클라이언트/백엔드 구성 가능 |
Analytics는 플랜별 상이 (PAYG는 애드온) | 최대 99.99% (구독) PAYG 플랜도 SLA 제공 |
| Azure APIM (v2) | 단위(노드) 월 과금 포함량 초과 시 100만 호출당 추가 과금 (Basic 1천만, Std 5천만, Premium 무제한 포함) |
WAF/Bot: 미포함 (Front Door/AppGW WAF 연동) mTLS: 클라이언트/백엔드 지원 |
Log Analytics 보관 기간 및 용량(GB)당 과금 | Basic/Std 99.95% Premium 99.99% |
2. 숨겨진 비용 파헤치기: 트래픽 초과와 보안 애드온
기본 요금제 외에 실제 비용에 큰 영향을 미치는 요소는 트래픽 초과 요금과 별도 구매해야 하는 보안 기능입니다.
트래픽 초과 (Rate Limit) 비용
- Azure APIM: 플랜에 포함된 월간 요청량을 초과하면 100만 요청 단위로 추가 비용이 청구됩니다. 예상치 못한 트래픽 급증 시 비용이 크게 늘어날 수 있으니 주의해야 합니다. 자세한 내용은 Azure API Management 가격 정책에서 확인하세요.
- Apigee: 종량제(PAYG)는 호출량이 많아질수록 호출 구간별 단가 할인이 자동으로 적용됩니다. 환경 및 배포 유닛 비용은 사용한 시간에 따라 누적 과금됩니다.
보안 기능: 내장 기능일까, 별도 구매일까?
API 보안을 위해 필수적인 WAF, Bot 방어, mTLS, 위협 탐지 기능은 대부분 기본 요금제에 포함되어 있지 않습니다.
WAF / Bot 방어
두 플랫폼 모두 게이트웨이에 WAF가 내장되어 있지 않아 별도 서비스와 연동해야 합니다.
- Google Cloud: Cloud Armor를 로드밸런서 앞단에 연결하여 WAF, DDoS 방어, IP/지역 기반 제어 기능을 구현합니다.
- Azure: Front Door WAF 또는 Application Gateway WAF를 APIM 앞에 배치하는 것이 공식 아키텍처입니다.
상호 TLS 인증 (mTLS)
mTLS는 클라이언트와 서버가 서로의 인증서를 확인하는 강력한 보안 방식입니다.
- Apigee: 클라이언트↔Apigee, Apigee↔백엔드 양방향으로 TLS/mTLS 구성이 가능합니다.
- Azure APIM: 클라이언트 인증서(mTLS) 및 백엔드 mTLS를 공식적으로 지원합니다.
API 위협 및 취약점 탐지
OWASP API Security Top 10과 같은 최신 위협을 탐지하는 고급 기능은 별도 애드온으로 제공됩니다.
- Microsoft Defender for APIs: APIM에 게시된 API의 수명주기 전반에 걸쳐 보호, 탐지, 대응 기능을 제공하는 구독형 서비스입니다.
- Apigee Advanced API Security: 종량제 플랜에서 호출 100만 건당 $350의 애드온으로 제공되며, 비정상적인 트래픽이나 악성 봇을 탐지합니다.
| 방어 기능 | 포함 여부 | 애드온 (별도 과금) | 연동 서비스 (별도 과금) |
|---|---|---|---|
| API 취약점/위협 탐지 | - | Defender for APIs (APIM) Apigee Advanced API Security |
- |
| WAF/DDoS/Bot 방어 | - | - | Cloud Armor (GCP) Front Door/AppGW WAF (Azure) |
3. 로그 보관 정책과 비용
API 호출 로그는 장애 분석과 보안 감사에 필수적이지만, 보관 기간과 용량에 따라 상당한 비용이 발생할 수 있습니다.
- Azure APIM: API 로그는 Azure Monitor (Log Analytics)로 전송되어 수집된 데이터 양(GB)과 보관 기간에 따라 비용이 책정됩니다. 기본 31일은 무료 보관이 가능하며, 그 이상 보관 시 GB당 월 요금이 부과됩니다.
- Apigee: 구독 등급에 따라 Analytics 데이터 보존 기간이 달라지며(최대 14개월), 종량제에서는 Analytics 기능이 애드온으로 제공됩니다.
4. 실전! API 보안 비용 계산해보기
지금까지 살펴본 내용을 바탕으로 실제 비용을 간단히 계산해 보겠습니다.
월 비용 표준식 = (월 호출료) + (환경/배포비) + (보안 애드온) + (로그 보관료)
예시 A: Google Apigee (월 2,000만 호출, 고급 보안 기능 사용)
- 호출료: 2,000만 건 × ($20 / 100만 건) = $400
- 환경료 (Intermediate 환경, 1개 리전): $2.0/시간 × 730시간 ≈ $1,460
- 보안 애드온 (Advanced API Security): 2,000만 건 × ($350 / 100만 건) = $7,000
- 로그/네트워크: 별도 산정
- 총 예상 비용: $1,860 (기본) ~ $8,860 (보안 포함) + α
예시 B: Azure APIM (월 2,000만 호출, 고급 보안 기능 사용)
- 호출료: Standard v2 플랜은 월 5,000만 건까지 포함되므로 초과 비용 없음.
- 단위(노드)료: 지역별 Standard v2 단위 월 비용 적용
- 보안 애드온 (Defender for APIs Plan 3): 약 $4,999.99/월
- 로그 보관료: 31일 초과 보관 시 용량(GB)에 따라 별도 과금
- 총 예상 비용: APIM 단위 월 비용 + $4,999.99 + α
5. 어떤 서비스를 선택해야 할까? (의사결정 가이드)
- 트래픽 패턴 예측이 어렵다면?
트래픽 폭주 가능성이 크고 정교한 WAF 규칙이 중요하다면, Cloud Armor 또는 Front Door WAF 같은 전용 WAF와 API 게이트웨이를 조합하는 것이 안정적입니다. - 보안 거버넌스가 중요하다면?
기존에 Microsoft 생태계를 사용 중이라면 Defender for APIs를 추가하는 것이 관리 효율성이 높습니다. Google Cloud 중심 환경이라면 Apigee Advanced API Security 애드온을 고려해볼 수 있습니다. - 장기 로그 보관이 필수라면?
보안 규제나 사고 대응을 위해 1년 이상 로그 보관이 필요하다면, 장기 보존에 따른 추가 비용을 반드시 예산에 반영해야 합니다.
6. 놓치기 쉬운 최종 체크리스트
API 게이트웨이 도입 전, 아래 항목들을 최종적으로 점검하여 예상치 못한 비용 발생을 막으세요.
- [✅] 트래픽 초과 비용: 플랜별 포함량과 초과 시 100만 건당 단가를 확인했는가?
- [✅] 네트워크 비용: VNet 연동, Private Link, 지역 간 데이터 전송 등 숨겨진 네트워크 비용을 고려했는가?
- [✅] mTLS 구성 비용: 상호 인증서 관리를 위한 인프라나 LB 구성에 추가 비용이 발생하는가?
- [✅] 로그 데이터 관리: 개인정보(PII) 마스킹 정책을 적용하여 불필요한 로그 저장 비용을 최소화했는가?
- [✅] 지역별 요금 차이: 사용하려는 리전(Region)의 서비스 단가, 네트워크 비용이 다른 지역과 어떻게 다른가?
자주 묻는 질문 (FAQ)
Q1. API 호출량이 갑자기 늘어나면 비용은 어떻게 계산되나요?
A. Apigee는 사용한 만큼 구간별 단가가 적용되며, Azure APIM은 플랜에 포함된 호출량을 초과하는 만큼 100만 건 단위로 추가 과금됩니다.
Q2. WAF나 Bot 방어 기능은 기본으로 제공되나요?
A. 아니요. 두 플랫폼 모두 기본 게이트웨이에는 WAF가 내장되어 있지 않습니다. Google Cloud Armor나 Azure WAF와 같은 별도 서비스를 연동해야 합니다.
Q3. 환경이나 배포에 대한 추가 비용이 있나요?
A. Apigee는 환경 사용 시간 및 배포 유닛 초과 시 과금됩니다. 반면 Azure APIM은 단위(노드) 기반 월 과금 모델에 포함되어 있습니다.
Q4. 연간 약정을 통한 할인 혜택이 있나요?
A. 네. 두 플랫폼 모두 구독 또는 약정 플랜을 제공하며, 이를 통해 더 높은 SLA와 기능, 비용 절감 혜택을 받을 수 있습니다. 자세한 내용은 영업팀에 문의해야 합니다.
Q5. 로그 보관 비용은 항상 별도인가요?
A. 네, 그렇다고 보는 것이 안전합니다. Azure는 Log Analytics의 데이터 수집량과 보관 기간에 따라 별도 과금하며, Apigee는 플랜이나 애드온에 따라 Analytics 기능이 제공됩니다.
함께 읽으면 좋은 글
면책 조항: 이 글의 정책 및 요금 정보는 게시일 기준으로 작성되었으며, 실제 비용은 각 클라우드 제공업체의 최신 정책에 따라 변동될 수 있습니다. 도입 전 반드시 공식 문서를 확인하시기 바랍니다.
공식 출처 자료
