Skip to content
Published on

API 게이트웨이 2026 — Kong 4 / Tyk / Apigee / KrakenD / Zuplo / Envoy Gateway / Traefik 3 심층 비교 (15가지 옵션, 4가지 분류)

🇰🇷KO🇺🇸EN🇯🇵JA
Split View필사 모드
Authors

프롤로그 — "그냥 nginx 쓰면 안 돼?"

2026년 어느 마이크로서비스 팀이든 한 번쯤 한다는 대화.

신입: "API 게이트웨이가 왜 필요해요? 그냥 nginx 앞에 두면 되잖아요." 시니어: "rate limiting은? 인증은? 키 관리는? 로깅은? 스키마 검증은? canary 배포는? OpenAPI 자동 생성은? portal은?" 신입: "...아."

이게 2026년에도 흔한 입문 풍경이다. nginx·HAProxy는 좋은 리버스 프록시지만 API 게이트웨이는 그 위에 비즈니스 로직을 얹은 별도의 카테고리다. 그리고 그 카테고리가 지난 2년 동안 크게 흔들렸다.

세 가지 변화가 있었다.

첫째, Mashery가 사라졌다. TIBCO가 2024년 1월 31일 Mashery를 공식 종료했다. 한때 Apigee·3scale·Mashery가 "Big 3 매니지드"였는데 한 자리가 비었다.

둘째, LLM API 게이트웨이라는 새 카테고리가 생겼다. Portkey·Helicone·OpenRouter는 전통적 게이트웨이가 안 하는 일을 한다 — 모델 라우팅, 토큰 카운팅, fallback, semantic cache, prompt management. 2024~2025년 시리즈 A를 모두 받았다.

셋째, 프로그래머블 엣지가 떴다. Zuplo는 TypeScript로 게이트웨이 로직을 짠다 — Cloudflare Workers 위에서 돈다. 2024년 시리즈 A를 받았고, OpenAPI 우선 워크플로로 차별화한다.

이 글은 2026년 현재 15가지 옵션을 4가지 분류로 정리한다 — 오픈소스 셀프호스팅, 매니지드 클라우드, 프로그래머블 엣지, LLM 게이트웨이. 각 솔루션의 기능·가격·실제 사례·언제 고르나까지.

1장 · 2026년 API 게이트웨이 지도 — 네 갈래 분류

먼저 큰 그림을 잡자. 15가지 옵션을 한 화면에 본다.

분류솔루션모델강점
오픈소스 셀프호스팅Kong 4 / KGatewayApache 2.0 (Konnect는 SaaS)가장 큰 생태계, 플러그인
TykMPL 2.0 (오픈 코어)명확한 OSS, 영국 기반
KrakenDApache 2.0Go 기반, 가장 가볍다, 무상태
Envoy GatewayApache 2.0 (CNCF Graduated)Kubernetes Gateway API 표준
Traefik 3MIT자동 디스커버리, k8s 친화
GraviteeApache 2.0 (프랑스)API + Event mesh 통합
매니지드 클라우드Apigee X (Google)엔터프라이즈 SaaSAPI 프로덕트, 분석
AWS API GatewayAWS 네이티브REST + HTTP + WebSocket
Cloudflare API GatewayCloudflare 네이티브 (구 API Shield)엣지 + 보안
Azure API ManagementAzure 네이티브정책 엔진, 개발자 포털
MuleSoft (Salesforce)엔터프라이즈Anypoint 플랫폼, iPaaS
Mashery (TIBCO)일몰 2024-01더 이상 신규 가입 없음
프로그래머블 엣지ZuploSaaS, edge-firstTypeScript, OpenAPI 우선
Hasura DDN매니지드 + OSSGraphQL · data delivery network
LLM 게이트웨이PortkeySaaS + OSSAI gateway, 100+ LLM
HeliconeOSS + SaaS옵저버빌리티 + 게이트웨이
OpenRouterSaaSLLM 라우팅, 통합 결제

핵심 통찰 세 가지.

1) 컨트롤 플레인과 데이터 플레인이 분리된다. Kong은 Konnect(컨트롤)와 데이터 플레인을 나눴다. Envoy Gateway는 xDS로 자연스럽게 분리된다. 매니지드 SaaS는 컨트롤 플레인만 SaaS고 데이터 플레인은 고객 VPC에서 도는 하이브리드 모델로 가는 추세다.

2) Kubernetes Gateway API가 표준이 됐다. Envoy Gateway·Kong·Traefik 모두 Gateway API를 1급으로 지원한다. 더 이상 Ingress·Gateway·VirtualService를 따로 배워야 하는 시대는 끝났다.

3) LLM 게이트웨이는 별도 카테고리다. 전통적 API 게이트웨이는 LLM의 토큰 카운팅·스트리밍·fallback·semantic cache를 잘 못 한다. 그래서 Portkey·Helicone이 따로 생겼고, Kong·Tyk도 LLM 플러그인을 붙이는 중이다.

2장 · Kong 4 + Konnect — 오픈소스의 표준

가장 많이 쓰이는 오픈소스 API 게이트웨이. 2025년 Kong 4가 나오면서 큰 변화가 있었다.

아키텍처. Kong은 nginx + Lua(OpenResty)로 출발했지만, Kong Gateway 3부터 Go 플러그인 지원이 들어왔고 4에서 Rust 플러그인 SDK가 정식 됐다. 컨트롤 플레인은 Konnect(SaaS)나 셀프호스트 둘 다 가능하고, 데이터 플레인은 항상 고객 인프라에서 돈다.

핵심 기능.

# Kong declarative config (Konnect or kong.conf)
_format_version: '3.0'
services:
  - name: user-service
    url: http://user-service.internal:8080
    routes:
      - name: user-route
        paths: ['/api/users']
        methods: ['GET', 'POST']
    plugins:
      - name: rate-limiting
        config:
          minute: 100
          policy: redis
      - name: jwt
        config:
          key_claim_name: kid
      - name: prometheus
        config:
          per_consumer: true
      - name: ai-proxy
        config:
          route_type: 'llm/v1/chat'
          model:
            provider: openai
            name: gpt-4o

KGateway (구 Gloo). Solo.io가 만든 Envoy 기반 게이트웨이를 Kong이 2025년에 인수하고 KGateway로 리브랜딩했다. Envoy 데이터 플레인 + Kong 컨트롤 플레인 조합이라 Kubernetes Gateway API 환경에서 강하다. 기존 Kong Gateway(nginx 기반)와 KGateway(Envoy 기반)는 당분간 공존한다.

Konnect. Kong의 매니지드 컨트롤 플레인 SaaS. 데이터 플레인은 고객이 셀프호스트하고, 컨트롤·분석·포털만 SaaS로 받는다. 멀티 리전 게이트웨이를 한 콘솔에서 관리할 수 있는 게 가장 큰 매력.

플러그인 생태계. OSS 플러그인 100개+ , 엔터프라이즈 플러그인 50개+. AI Proxy 플러그인은 OpenAI/Anthropic/Mistral/Cohere로 라우팅하고 토큰 카운트한다 — 2024년 추가.

가격. Kong Gateway OSS는 무료. Konnect Plus는 게이트웨이당 월 250달러부터, Enterprise는 협의.

언제 고르나. 가장 안전한 선택 — 생태계·문서·인재 풀이 압도적. 다만 nginx + Lua 구조라 디버깅이 어렵다는 평도 있다.

3장 · Tyk — 오픈 코어, 영국발

Kong과 자주 비교되는 오픈 코어 게이트웨이. 영국 런던 기반 회사.

라이선스. Tyk Gateway는 MPL 2.0 오픈소스, Tyk Dashboard·Multi Data Center Bridge·Pump 일부는 상용. 오픈 코어 모델이 명확해서 "어디가 OSS인지 한눈에 보인다"는 평이 있다.

아키텍처. Go로 작성. Kong과 달리 외부 의존성(nginx, Lua 런타임)이 없어서 단일 바이너리로 돈다. Redis는 필요(rate limit·analytics).

# Tyk API definition (api_definition.json 발췌)
{
  "name": "User API",
  "api_id": "user-api",
  "use_keyless": false,
  "auth": { "auth_header_name": "Authorization" },
  "version_data": {
    "default_version": "v1",
    "versions": {
      "v1": {
        "name": "v1",
        "use_extended_paths": true,
        "extended_paths": {
          "validate_json": [
            { "method": "POST", "path": "/users", "schema_b64": "..." }
          ],
          "circuit_breaker": [
            { "path": "/users", "method": "GET", "threshold_percent": 0.5, "samples": 10 }
          ]
        }
      }
    }
  },
  "proxy": { "target_url": "http://user-service:8080" }
}

Tyk AI Studio. 2025년에 추가된 LLM 게이트웨이 기능 — 모델 라우팅, 토큰 카운트, PII 마스킹. Kong AI Proxy와 직접 경쟁한다.

가격. OSS는 무료. Cloud Starter는 월 600달러부터, Self-Managed는 협의.

언제 고르나. Kong의 nginx + Lua가 마음에 안 들고, Go 기반의 단일 바이너리를 원할 때. 영국·EU 데이터 주권을 신경 쓰는 조직에 인기.

4장 · Apigee X (Google) — 엔터프라이즈의 기본값

Google이 2016년 Apigee를 인수한 뒤 GCP에 깊이 통합했고, 2021년 Apigee X로 재출시했다.

아키텍처. GCP에 매니지드로 호스팅된다. Apigee Hybrid를 쓰면 컨트롤 플레인은 GCP, 데이터 플레인은 고객의 GKE/EKS/온프렘에 둘 수 있다. 멀티 클라우드 엔터프라이즈가 핵심 타깃.

정책 모델. Apigee의 가장 강력한 특징은 정책 엔진이다. XML 또는 JavaScript로 60개+ 정책(XML/JSON 변환, OAuth, Spike Arrest, Quota, JavaCallout 등)을 조합한다.

<!-- Apigee policy: Spike Arrest + OAuth + JSON to XML -->
<SpikeArrest name="SA-100ps">
  <Rate>100ps</Rate>
</SpikeArrest>

<OAuthV2 name="OAuth-Verify">
  <Operation>VerifyAccessToken</Operation>
</OAuthV2>

<JSONToXML name="JSON-to-XML">
  <Source>request</Source>
  <OutputVariable>request</OutputVariable>
</JSONToXML>

Apigee Hub. 2024년 추가된 API 카탈로그·디스커버리 서비스. 사내의 모든 API를 메타데이터로 등록하고, 검색·분류·라이프사이클 관리.

가격. 가장 비싸다 — Apigee X Standard는 연 약 30,000달러부터, Enterprise는 100,000달러대. Apigee Pay-as-you-go(2023)가 나오면서 작은 팀도 시작할 수는 있게 됐다.

언제 고르나. GCP에 이미 깊이 들어가 있고, 큰 엔터프라이즈에서 정책·거버넌스·분석·포털이 모두 필요할 때. 통신·금융·헬스케어에서 강하다.

5장 · KrakenD — Go 기반의 가장 가벼운

스페인 바르셀로나 기반의 오픈소스 게이트웨이. 무상태 + 선언적 + Go 세 가지로 차별화.

핵심 철학. 모든 설정은 단일 JSON 파일 — 런타임에 외부 DB·Redis 없이 돈다(rate limit은 메모리 또는 Redis 옵션). "12-factor app" 친화.

{
  "version": 3,
  "name": "my-gateway",
  "port": 8080,
  "endpoints": [
    {
      "endpoint": "/api/users/{id}",
      "method": "GET",
      "output_encoding": "json",
      "backend": [
        {
          "host": ["http://user-service:8080"],
          "url_pattern": "/v1/users/{id}",
          "encoding": "json"
        },
        {
          "host": ["http://order-service:8080"],
          "url_pattern": "/v1/orders?user={id}",
          "encoding": "json",
          "group": "orders"
        }
      ],
      "extra_config": {
        "qos/ratelimit/router": {
          "max_rate": 100,
          "client_max_rate": 10
        }
      }
    }
  ]
}

위 설정 하나가 두 백엔드 호출 + 응답 머지 + rate limit을 한 엔드포인트로 묶는다 — 이게 KrakenD의 시그니처 기능인 response aggregation. BFF 패턴을 게이트웨이에서 직접 푼다.

오픈소스 vs 엔터프라이즈. OSS Community Edition은 Apache 2.0. Enterprise Edition은 멀티 테넌트·고급 OAuth·고급 캐시·SSO 추가.

가격. OSS 무료. Enterprise는 노드당 연 라이선스.

언제 고르나. 운영 단순성을 최우선으로 할 때. Kong/Apigee의 무거움이 싫고, BFF·API composition을 게이트웨이에서 처리하고 싶을 때. 스타트업·중소기업·SaaS에서 인기.

6장 · Zuplo — 프로그래머블, 엣지 우선 TypeScript

2022년 창업, 2024년 시리즈 A 9백만 달러. 가장 새로운 카테고리 — TypeScript로 게이트웨이 로직을 짠다.

아키텍처. Cloudflare Workers 위에서 돈다 — 전세계 300+ 엣지 PoP에 자동 배포. 사용자는 TypeScript 함수와 OpenAPI 스펙을 GitHub에 푸시하고, Zuplo가 자동 배포한다.

// Zuplo policy: custom auth + transform
import { ZuploRequest, ZuploContext } from '@zuplo/runtime'

export default async function (
  request: ZuploRequest,
  context: ZuploContext
) {
  const token = request.headers.get('authorization')?.replace('Bearer ', '')

  if (!token) {
    return new Response('Unauthorized', { status: 401 })
  }

  const user = await context.invokeInboundPolicy('jwt-auth', request)
  request.headers.set('x-user-id', user.sub)
  request.headers.set('x-user-tier', user.tier ?? 'free')

  return request
}

OpenAPI 우선. Zuplo의 차별점 — 라우트 설정이 OpenAPI 3.1 스펙 자체다. 스펙을 바꾸면 게이트웨이가 바뀌고, dev portal이 바뀌고, mock 서버가 바뀐다. single source of truth.

Developer Portal 자동 생성. OpenAPI에서 portal·SDK·문서·인터랙티브 콘솔이 자동으로 나온다. ReadMe·Stoplight와 경쟁.

가격. 무료 티어 200만 요청/월. Production은 월 200달러부터, Enterprise는 협의.

언제 고르나. B2B SaaS의 외부 API를 운영할 때 — OpenAPI 우선·개발자 포털·엣지 글로벌 분산이 한 패키지로 필요할 때. AI 회사들이 LLM API 노출할 때 많이 쓴다.

7장 · AWS API Gateway / Cloudflare API Gateway / Azure APIM — 클라우드 네이티브

AWS API Gateway

세 가지 종류 — REST API, HTTP API, WebSocket API.

  • REST API: 가장 오래된, 가장 비싼, 가장 기능 많은. WAF·API Keys·Usage Plans·X-Ray·캐시.
  • HTTP API: 2019년 추가. REST보다 70% 저렴, 60% 빠름. JWT 기본 지원. Lambda Authorizer.
  • WebSocket API: 양방향 연결 — 채팅·실시간 알림.
# AWS SAM template — HTTP API
Resources:
  MyApi:
    Type: AWS::Serverless::HttpApi
    Properties:
      Auth:
        Authorizers:
          JwtAuth:
            JwtConfiguration:
              issuer: https://example.auth0.com/
              audience: ['https://api.example.com']
        DefaultAuthorizer: JwtAuth
      RouteSettings:
        '$default':
          ThrottlingBurstLimit: 100
          ThrottlingRateLimit: 50

가격. HTTP API는 1백만 요청당 1달러, REST API는 3.50달러. Cloudflare API Gateway보다 비싼 편.

언제 고르나. AWS에 깊이 들어가 있고, Lambda·EventBridge·Cognito와 묶을 때. 다만 멀티 클라우드라면 lock-in이 부담.

Cloudflare API Gateway

2022년 API Shield로 출시, 2024년에 "API Gateway"로 리브랜딩. Cloudflare Workers + WAF 위에 얹은 게이트웨이.

핵심 기능 세 가지.

  1. Schema validation — OpenAPI 스펙을 업로드하면 모든 요청을 자동 검증.
  2. Sequence Analytics — 비정상적 API 호출 시퀀스를 ML로 감지 (BOLA·BFLA 공격 차단).
  3. mTLS / JWT validation — 엣지에서 인증 처리.
// Cloudflare Worker as API gateway logic
export default {
  async fetch(request, env, ctx) {
    const url = new URL(request.url)

    // Rate limit per API key
    const apiKey = request.headers.get('x-api-key')
    const rateLimitKey = `ratelimit:${apiKey}`
    const count = await env.RATE_LIMIT_KV.get(rateLimitKey)

    if (count && parseInt(count) > 1000) {
      return new Response('Rate limit exceeded', { status: 429 })
    }

    await env.RATE_LIMIT_KV.put(
      rateLimitKey,
      String((parseInt(count) || 0) + 1),
      { expirationTtl: 60 }
    )

    // Proxy to origin
    return fetch(`https://api.internal.example.com${url.pathname}`, request)
  },
}

가격. Enterprise plan에 포함. 별도 가격 책정 없음 (Cloudflare 영업과 협의).

언제 고르나. 이미 Cloudflare를 쓰고 있고, 엣지에서 인증·rate limit·schema validation을 처리하고 싶을 때. 글로벌 분산이 강점.

Azure API Management (APIM)

Azure 네이티브 게이트웨이. 정책 표현식 모델이 핵심 — XML로 inbound·backend·outbound·on-error 단계마다 정책을 끼워넣는다.

<policies>
  <inbound>
    <base />
    <validate-jwt header-name="Authorization" failed-validation-httpcode="401">
      <openid-config url="https://login.microsoftonline.com/.../.well-known/openid-configuration" />
      <audiences>
        <audience>api://my-api</audience>
      </audiences>
    </validate-jwt>
    <rate-limit-by-key calls="100" renewal-period="60" counter-key="@(context.Subscription.Id)" />
    <set-header name="x-correlation-id" exists-action="skip">
      <value>@(Guid.NewGuid().ToString())</value>
    </set-header>
  </inbound>
  <backend>
    <forward-request />
  </backend>
  <outbound>
    <base />
    <set-header name="x-served-by" exists-action="override">
      <value>apim</value>
    </set-header>
  </outbound>
</policies>

Tier. Consumption(서버리스, 종량제) / Developer / Basic / Standard / Premium / Premium v2. Premium은 멀티 리전 + VNet 통합.

언제 고르나. Azure 깊은 통합. .NET / Microsoft 365 / Office Add-in 생태계와 묶일 때. 정부·공공 부문에서 강하다.

8장 · Gravitee / MuleSoft / Hasura DDN — 그 외 주목할 만한

Gravitee.io

프랑스 파리·라발에 본사. OSS Apache 2.0. 차별점은 API + Event API 통합 — REST·gRPC·GraphQL뿐 아니라 Kafka·MQTT·WebSocket·SSE를 한 게이트웨이로 처리한다. AsyncAPI 1급 지원.

2025년 Gravitee 5가 나오면서 LLM 게이트웨이 기능(prompt 검사·PII 마스킹·토큰 quota)이 추가됐다.

EU 기반·GDPR 친화·OSS 우선이라 유럽 정부·금융·통신에서 인기.

MuleSoft Anypoint (Salesforce)

엄밀히는 API 게이트웨이만이 아니라 iPaaS — Integration Platform as a Service. Anypoint Studio라는 비주얼 IDE에서 데이터 변환·통합 흐름을 만든다. Salesforce 생태계와 깊이 통합.

가장 비싸고 무겁다. 대기업 SI·복잡한 레거시 통합 시나리오에 적합. 작은 팀에는 과하다.

Hasura DDN (Data Delivery Network)

Hasura가 2024년에 발표한 새 제품 — 전통적 의미의 "API 게이트웨이"는 아니지만 GraphQL 우선 데이터 API 플랫폼. 여러 데이터 소스(Postgres·MySQL·MongoDB·Snowflake·REST API)를 단일 GraphQL 스키마로 통합하고, 엣지에서 캐시·인증·rate limit을 한다.

GraphQL API를 외부에 노출하고 싶고, 백엔드 데이터가 여러 소스에 흩어져 있을 때 좋은 선택.

9장 · Envoy Gateway (CNCF) / Traefik 3 — Kubernetes-native

Envoy Gateway

CNCF Graduated(2024) 프로젝트. Envoy Proxy를 Kubernetes Gateway API로 추상화한다. Lyft가 만든 Envoy는 Istio·Consul·gRPC의 데이터 플레인으로 이미 표준이지만, 직접 운영하기는 복잡했다. Envoy Gateway는 그 복잡성을 가린다.

# Envoy Gateway — Kubernetes Gateway API
apiVersion: gateway.networking.k8s.io/v1
kind: GatewayClass
metadata:
  name: eg
spec:
  controllerName: gateway.envoyproxy.io/gatewayclass-controller
---
apiVersion: gateway.networking.k8s.io/v1
kind: Gateway
metadata:
  name: eg
spec:
  gatewayClassName: eg
  listeners:
    - name: http
      protocol: HTTP
      port: 80
---
apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: user-api
spec:
  parentRefs:
    - name: eg
  hostnames: ['api.example.com']
  rules:
    - matches:
        - path:
            type: PathPrefix
            value: /api/users
      backendRefs:
        - name: user-service
          port: 8080

언제 고르나. Kubernetes에 깊이 들어가 있고, Gateway API 표준을 따르고 싶을 때. Istio·Linkerd 같은 service mesh와 데이터 플레인을 공유하고 싶을 때.

Traefik 3

2024년 v3가 나오면서 자동 디스커버리(Docker·Kubernetes·Consul) + Gateway API + HTTP/3 + WebAssembly 미들웨어 + OpenTelemetry 기본 지원. v2와 비교해 큰 도약.

전통적으로 "Kubernetes Ingress의 더 나은 옵션"으로 시작했지만, v3에서 본격적인 API 게이트웨이로 진화 — TraefikHub로 API 카탈로그·portal까지 제공.

# Traefik 3 — Kubernetes Ingress (or Gateway API)
apiVersion: traefik.io/v1alpha1
kind: IngressRoute
metadata:
  name: user-api
spec:
  entryPoints: [websecure]
  routes:
    - match: Host(`api.example.com`) && PathPrefix(`/api/users`)
      kind: Rule
      services:
        - name: user-service
          port: 8080
      middlewares:
        - name: rate-limit
        - name: auth-jwt

언제 고르나. Docker Compose부터 Kubernetes까지 동일한 도구로 가고 싶을 때. 자동 디스커버리가 강점이라 운영 부담이 적다.

10장 · LLM API 게이트웨이 — Portkey / Helicone / OpenRouter

전통적 API 게이트웨이는 LLM에 잘 안 맞는다. 토큰 카운트·스트리밍 SSE·시맨틱 캐시·모델 라우팅·fallback — 이런 게 다 빠져 있다. 그래서 2023~2024년에 LLM 전용 게이트웨이가 따로 떴다.

Portkey

가장 기능 풍부한 LLM 게이트웨이. OSS 핵심 + SaaS 유료. 200개+ 모델을 단일 OpenAI 호환 API로 노출.

핵심 기능 — fallback(모델 A 실패 시 모델 B), load balancing(50/50 라우팅), 시맨틱 캐시, prompt management(Git 같은 버전 관리), guardrails(PII·toxic·hallucination 검사), 토큰 budget(팀당·사용자당).

from portkey_ai import Portkey

portkey = Portkey(
    api_key="YOUR_PORTKEY_API_KEY",
    config={
        "strategy": {"mode": "fallback"},
        "targets": [
            {
                "provider": "anthropic",
                "api_key": "ANTHROPIC_KEY",
                "override_params": {"model": "claude-opus-4"},
            },
            {
                "provider": "openai",
                "api_key": "OPENAI_KEY",
                "override_params": {"model": "gpt-4o"},
            },
        ],
    },
)

response = portkey.chat.completions.create(
    messages=[{"role": "user", "content": "Explain transformers."}]
)

Helicone

옵저버빌리티 우선의 LLM 게이트웨이. OSS Apache 2.0 + SaaS. base_url만 바꾸면 모든 OpenAI 호출이 Helicone을 거치게 된다 — 토큰·비용·레이턴시·에러가 자동 기록.

from openai import OpenAI

client = OpenAI(
    base_url="https://oai.helicone.ai/v1",
    api_key="YOUR_OPENAI_KEY",
    default_headers={
        "Helicone-Auth": "Bearer YOUR_HELICONE_KEY",
        "Helicone-Cache-Enabled": "true",
        "Helicone-Property-User": "user-42",
    },
)

데이터 플레인을 자체 호스팅할 수 있다는 게 큰 매력 — 민감한 prompt가 외부로 안 나간다.

OpenRouter

LLM의 "Stripe"를 자처한다. 300개+ 모델을 통합 결제로 묶었다 — 한 번 결제하면 OpenAI·Anthropic·Google·Mistral·DeepSeek·Llama 호스팅 등 어떤 모델이든 쓸 수 있다.

가격을 모델별로 자동 비교해서 가장 싼 옵션으로 라우팅하는 기능이 차별점. 다만 SaaS-only, OSS 버전 없음. 작은 팀·실험·프로토타이핑에 인기.

// OpenRouter — OpenAI SDK 호환
import OpenAI from 'openai'

const openai = new OpenAI({
  baseURL: 'https://openrouter.ai/api/v1',
  apiKey: process.env.OPENROUTER_API_KEY,
})

const completion = await openai.chat.completions.create({
  model: 'anthropic/claude-opus-4',
  messages: [{ role: 'user', content: 'Hello' }],
})

11장 · Rate limiting / 인증 / Schema validation / Caching 패턴

게이트웨이가 푸는 4대 패턴.

Rate limiting

세 가지 알고리즘이 표준 — token bucket, leaky bucket, sliding window. 대부분 Redis에 카운터를 둔다.

# Kong rate-limiting plugin
plugins:
  - name: rate-limiting-advanced
    config:
      limit: [100, 1000]
      window_size: [60, 3600]
      identifier: consumer
      sync_rate: 10
      strategy: redis
      redis:
        host: redis.internal
        port: 6379

층별로 다른 한도를 거는 게 좋다 — 익명 IP는 10/분, 무료 키는 100/분, 유료 키는 10000/분.

인증

게이트웨이가 처리하는 인증 방식.

  • API Key — 가장 단순, 회전 어려움.
  • JWT — 자체 서명, 검증 가능, 짧은 수명. 가장 흔함.
  • OAuth 2.0 / OIDC — 표준 인증, refresh token, 사용자 동의.
  • mTLS — 클라이언트 인증서, B2B에서 강함.

대부분의 게이트웨이가 JWT 검증을 1급으로 지원한다. issuer·audience·exp·signature 검증을 엣지에서 끝낸다 — 백엔드는 인증된 요청만 받는다.

Schema validation

OpenAPI 3.1 스펙을 게이트웨이가 읽고, 모든 요청·응답을 검증한다. 잘못된 요청은 엣지에서 400으로 끊는다 — 백엔드 부담을 줄이고 보안도 강화(스키마 외 필드는 거부).

# Cloudflare API Gateway — OpenAPI schema validation
apiVersion: api-gateway.cloudflare.com/v1
kind: Schema
metadata:
  name: users-api-v1
spec:
  openapi: 3.1.0
  enforcement: enforce
  source: file:openapi.yaml

Caching

GET 응답을 엣지에서 캐시한다 — Cache-Control 헤더나 게이트웨이 규칙에 따라. Apigee·Kong·Cloudflare·KrakenD 모두 1급 지원. 캐시 키를 잘 짜는 게 중요 — 사용자별 데이터를 잘못 캐시하면 데이터 유출.

12장 · BFF (Backend For Frontend) 패턴

Sam Newman이 2015년 글에서 정리한 패턴. 프런트엔드별로 전용 백엔드 API를 둔다 — 웹·iOS·Android 각각 다른 데이터·다른 형태가 필요하니까.

[Web] ──▶ [Web BFF] ──▶ [User, Order, Product services]
[iOS] ──▶ [iOS BFF] ──▶ [User, Order, Product services]
[Android] ──▶ [Android BFF] ──▶ [User, Order, Product services]

BFF는 어디서 도나? 두 가지 패턴.

패턴 A — 별도 BFF 서비스. Node.js·Go로 BFF를 직접 짠다. 가장 유연하지만 운영 부담이 크다 — N개의 프런트엔드 = N개의 백엔드 서비스.

패턴 B — API 게이트웨이가 BFF 역할. KrakenD·Zuplo·Apigee 같은 게이트웨이가 여러 백엔드 호출 + 응답 머지를 직접 한다. 코드를 따로 안 짜도 된다.

2026년 추세는 B로 옮겨가는 중. 단순한 BFF(여러 API 호출 → 머지 → 응답)는 게이트웨이로 충분하고, 복잡한 BFF(상태·캐시·세션)만 별도 서비스로 둔다.

GraphQL을 BFF로 쓰는 패턴도 여전히 있다 — Hasura DDN이 그 자리를 노린다.

13장 · OpenAPI 3.1 / AsyncAPI 2.6 · 3 / gRPC

API 스펙 포맷의 2026년 상황.

OpenAPI 3.1

REST/HTTP API의 표준. 2021년에 나온 3.1이 JSON Schema 2020-12와 완전 호환됐다 — 이제 한 스키마를 게이트웨이·SDK·문서·테스트가 모두 공유한다.

Zuplo·Apigee·Cloudflare·Kong 모두 OpenAPI 우선 워크플로를 강조한다. 스펙이 곧 게이트웨이 설정이다.

AsyncAPI 2.6 / 3.0

이벤트 기반 API(Kafka·MQTT·WebSocket·SSE)의 OpenAPI. 2023년 AsyncAPI 3.0이 나오면서 OpenAPI 3.1과 구조가 통일됐다. Gravitee가 가장 강하게 밀고 있고, Confluent도 채택.

# AsyncAPI 3.0 example
asyncapi: 3.0.0
info:
  title: Order events
  version: 1.0.0
channels:
  orderCreated:
    address: orders.created
    messages:
      orderCreated:
        payload:
          type: object
          properties:
            orderId: { type: string }
            userId: { type: string }
            total: { type: number }
operations:
  publishOrderCreated:
    action: send
    channel:
      $ref: '#/channels/orderCreated'

gRPC

내부 마이크로서비스 통신의 사실상 표준. Envoy Gateway·Kong·Traefik 모두 gRPC를 1급 지원. gRPC-Web으로 브라우저에서도 호출 가능.

REST와 gRPC를 동시에 노출하는 게 흔함 — 외부는 REST, 내부는 gRPC.

14장 · 한국 / 일본 — 토스 / 카카오 / Mercari / ZOZO

토스 API 게이트웨이

토스는 자체 게이트웨이를 만들어 쓴다. 토스 기술 블로그에 따르면 Spring Cloud Gateway 기반에서 출발해, 자체 미들웨어 레이어를 얹어 인증·rate limit·이상 트래픽 감지를 통합 운영한다. 일일 수억 건의 API 호출이 한 게이트웨이를 거친다.

핵심 교훈 — "선택형 솔루션은 우리 요구사항을 다 만족시키지 못 했다. 직접 만들어 비즈니스에 맞췄다." 토스 규모에서는 합리적이지만, 일반 회사가 따라할 패턴은 아니다.

카카오 API Platform

카카오는 사내 API Platform이라는 자체 플랫폼을 운영한다. Kong + 자체 컨트롤 플레인 + 자체 portal 조합으로 알려져 있다. 카카오톡·카카오페이·카카오뱅크 등 계열사 간 API 호출의 표준 게이트웨이.

Mercari

Microservices 기반 일본 최대 중고 거래 플랫폼. 자체 Envoy 기반 게이트웨이 + Istio service mesh를 쓴다. Mercari 엔지니어링 블로그에 Envoy를 어떻게 운영하는지 여러 글이 있다. Envoy 데이터 플레인 + 자체 컨트롤 플레인 패턴의 대표 사례.

ZOZO

ZOZOTOWN을 운영하는 일본의 패션 EC. 마이크로서비스 전환 과정에서 Kong을 채택했고, 점진적으로 Envoy로 전환 중이라고 ZOZO 테크블로그에 공개. Kubernetes Gateway API로 자연스럽게 옮겨가는 사례.

15장 · 누가 무엇을 골라야 하나 — 4가지 시나리오

작은 팀 (10명 이하, MVP)

  • 1순위: Cloudflare API Gateway — 이미 Cloudflare를 쓰고 있을 가능성이 높고, 추가 인프라 0.
  • 2순위: Zuplo — OpenAPI 우선 워크플로가 빠르다. SaaS라 운영 부담 없음.
  • 3순위: KrakenD OSS — 직접 호스팅이 편하다면.
  • 피해라: Apigee·MuleSoft (오버킬), Mashery (이미 종료됨).

중간 팀 (50~200명, 멀티 서비스)

  • 1순위: Kong OSS + Konnect — 가장 안전한 선택. 커뮤니티·인재·플러그인이 풍부.
  • 2순위: Envoy Gateway + 자체 컨트롤 — Kubernetes 우선이라면.
  • 3순위: AWS API Gateway HTTP API — AWS 깊이 통합되어 있다면.

엔터프라이즈 (1000명+, 정책·거버넌스 중요)

  • 1순위: Apigee X — 정책·분석·portal·SLA가 모두 필요할 때.
  • 2순위: Azure APIM — Microsoft 생태계라면.
  • 3순위: Kong Enterprise + Konnect — 클라우드 중립이 중요할 때.

LLM 라우팅 (AI 회사 또는 LLM을 외부에 노출)

  • 1순위: Portkey — 기능 풍부, fallback·load balancing·prompt 관리.
  • 2순위: Helicone — 옵저버빌리티 우선, 셀프호스팅 가능.
  • 3순위: OpenRouter — 통합 결제·실험·프로토타이핑에 최적.
  • 보조: Kong AI Proxy 또는 Tyk AI Studio — 전통 게이트웨이 위에 LLM 기능 추가.

에필로그 — "게이트웨이는 인프라가 아니라 제품 일부다"

2026년의 가장 큰 변화는, API 게이트웨이가 단순히 "네트워크 인프라"에서 "제품의 일부"로 옮겨갔다는 점이다. OpenAPI 스펙 = 제품 스펙, 개발자 포털 = 제품의 첫인상, rate limit·인증 = 제품의 비즈니스 모델.

그리고 LLM이 그 흐름을 가속한다. 모델 라우팅·토큰 budget·prompt 관리는 운영이 아니라 비즈니스 결정이다. 누가 어떤 모델로 얼마짜리 요청을 보내는지가 곧 손익이다.

작은 팀이라면 Cloudflare나 Zuplo로 빠르게 시작하라. 중간 팀이라면 Kong이 가장 안전하다. 엔터프라이즈라면 Apigee 또는 Azure APIM. LLM이라면 Portkey 또는 Helicone. 그리고 Mashery는 이제 없다 — 기존 사용자는 마이그레이션 계획을 짜라.

다음 글 후보: OpenAPI 3.1 + Zod + tRPC — 타입 안전 API 풀스택 만들기, Envoy 운영 가이드 — 디버깅·메트릭·zone-aware load balancing, LLM 게이트웨이 직접 만들기 — 100줄로 fallback·캐시 구현.

"게이트웨이는 인프라가 아니다. 제품의 일부다. OpenAPI 스펙이 제품 스펙이고, 개발자 포털이 첫인상이며, rate limit이 비즈니스 모델이다."

— API 게이트웨이 2026, 끝.

참고 / References

Discuss on TwitterView on GitHub