API Rate Limiting의 개념과 주요 전략은 무엇인가요?

API Rate Limiting은 서비스의 가용성을 유지하고 DoS 공격이나 비정상적인 트래픽 폭주로부터 시스템을 보호하기 위한 필수적인 설계 요소입니다. 클라이언트가 정해진 임계치 이상의 요청을 보내면 429 Too Many Requests 응답을 반환하여 서버 자원의 고갈을 막습니다. 이는 단순히 보안 목적뿐만 아니라 써드파티 API 비용 관리나 특정 사용자의 자원 독점을 방지하는 데에도 사용됩니다.

가장 널리 쓰이는 'Token Bucket' 알고리즘은 버킷에 토큰이 있을 때만 요청을 처리하며, 일정한 속도로 토큰이 채워지는 방식입니다. 이 방식은 짧은 시간의 버스트 트래픽을 허용하면서도 장기적인 평균 속도를 제한할 수 있어 매우 유연합니다. 예를 들어 초당 100개의 토큰이 생성되고 버킷 크기가 500이라면, 평소에는 초당 100건을 처리하다가도 순간적으로 500건까지는 수용이 가능합니다.

반면 'Leaky Bucket'은 요청을 큐에 담아 일정한 속도로 처리하는 방식입니다. 버스트 트래픽을 제어하고 일정한 처리 속도를 강제하기에 적합하지만, 큐가 가득 차면 새 요청이 즉시 버려진다는 특징이 있습니다. 이는 인프라 자원이 한정적인 상황에서 네트워크 대역폭이나 데이터베이스 I/O를 일정하게 유지해야 할 때 주로 선택되며, 트래픽 쉐이핑(Traffic Shaping) 용도로도 훌륭합니다.

대규모 분산 환경에서는 개별 서버가 카운트를 관리하면 전체 제한이 부정확해지므로, Redis의 INCR 연산이나 Lua Script를 활용해 중앙 집중식으로 카운트를 관리하는 것이 일반적입니다. 이를 통해 수십 대의 서버 인스턴스가 협력하여 정확한 Rate Limit을 수행할 수 있으며, 사용자 ID나 API Key 기반으로 정밀한 제어가 가능해집니다.