에이전트 비용 폭주와 자동결제 사고를 막는 ‘가드레일’이 곧 그로스다

AI 에이전트/LLM 제품이 PMF 이후 겪는 다음 위기는 ‘성능’이 아니라 ‘통제 불가능한 비용’과 ‘신뢰 붕괴’다. dev.to에 올라온 두 사례가 이를 적나라하게 보여준다. 한 개발자는 에이전트를 밤새 돌려두었다가 동일 API 호출 루프에 빠져 하룻밤에 $200를 태웠고(ARIA 사례), 다른 글은 에이전트가 새벽에 SaaS를 마구 구독하거나 말도 안 되는 결제를 실행하는 “쇼핑 문제”를 현실 리스크로 제시한다(LetAgentPay 사례). 핵심 이슈는 간단하다. 에이전트는 (1) 토큰·API 호출 비용이 예측 불가능하게 폭주하고, (2) 외부 툴/결제 권한이 붙는 순간 ‘실거래 비용’이 곧 사고 비용이 된다. 이 두 비용은 재무팀 관점에선 COGS와 손실(Loss)로, 세일즈 관점에선 보안/통제 질문의 폭탄으로, 그로스 관점에선 전환율 하락과 Churn으로 돌아온다. “한 번 당해본 고객”은 재구매보다 감사/승인 프로세스를 먼저 요구하고, 그 과정이 길어질수록 CAC는 올라간다. 맥락을 보면, 에이전트가 가진 본질적 결함은 ‘자기 강화 실패 루프’다. 루프→재시도 증가→캐스케이드 실패→예산 소진의 형태로 비용이 기하급수적으로 불어난다. ARIA가 “call #100이 아니라 #3에서 막는다”는 메시지를 내건 이유가 여기에 있다. 즉, 비용을 줄이는 레버는 모델 단가 협상이 아니라 ‘실패의 조기 차단’이며, 캐싱·중복 호출 제거처럼 단순한 가드레일만으로도 단위비용이 즉시 내려간다. 하지만 더 위험한 건 토큰이 아니라 ‘카드’다. LetAgentPay가 강조하듯, 시스템 프롬프트로 “돈 쓰지 마”라고 말하는 건 정책이 아니라 희망사항이다. LLM이 규칙을 창의적으로 해석하는 순간, 피해는 바로 현금 유출로 발생한다. 그래서 이들은 결제 요청을 정책 미들웨어로 분리하고, LLM이 아닌 결정론적 체크(카테고리/시간/건당 한도/일·주·월 한도/예산 등)로 승인·보류·거절을 강제한다. 이 구조가 중요한 이유는 ‘설명 가능한 거절 사유’가 곧 엔터프라이즈 신뢰의 언어이기 때문이다. 시사점은 그로스 지표로 환산할 때 더 명확해진다. 첫째, 가드레일은 D7/D30 리텐션 장치다. 비용 폭주나 오결제는 한 번만 발생해도 “다시는 안 씀”으로 직결되는 하드 Churn 트리거다. 둘째, 세일즈 사이클을 단축한다. 보안/재무/구매 부서가 묻는 질문은 결국 “누가, 언제, 무엇을, 얼마까지, 어떤 근거로 막는가”인데, 탐지(Detection)→차단(Prevention) 모드처럼 리스크를 단계적으로 낮추면 파일럿 진입 장벽이 내려간다(ARIA의 ‘기본은 관찰만’ 전략이 딱 이 지점). 셋째, LTV/CAC를 동시에 개선한다. 비용 통제로 마진이 개선되고(ARPU 유지), 사고 확률 감소로 신뢰가 올라 전환율과 확장이 쉬워진다(세일즈/리퍼럴 효율). 여기에 MCP 생태계의 보안 공백이 기름을 붓고 있다. dev.to의 MCP 리포트는 커뮤니티 서버 다수에서 입력 검증 부재·커맨드 인젝션·하드코딩 크레덴셜 등 공급망 리스크를 지적한다. MCP는 에이전트의 행동 반경을 로컬 파일·API 키·네트워크 호출까지 넓히는 프로토콜이므로, “툴 설치 = 권한 위임”이 된다. 결국 비용 가드레일(토큰·실거래)과 보안 가드레일(권한·입력·감사 로그)은 분리된 문제가 아니라, 같은 신뢰 레이어의 다른 표현이다. 전망은 한 줄로 요약된다: 에이전트 제품은 ‘기능’이 아니라 ‘운영 가능성(Operability)’으로 팔리게 된다. 앞으로 표준이 될 구성은 (1) 호출/재시도/중복을 조기 차단하는 비용 미들웨어(ARIA류), (2) 결제·구매를 정책 엔진으로 결정론적으로 통제하는 지출 레이어(LetAgentPay류), (3) MCP/툴 체인에 대한 레지스트리·서명·스캔·샌드박싱 같은 공급망 보안이다(MCP 리포트가 제안하는 방향). 이 3종 세트가 갖춰진 팀은 ‘사고 없는 자동화’를 팔 수 있고, 그 순간 엔터프라이즈 도입은 PoC가 아니라 확장 계약으로 넘어간다. 그로스 액션 아이템은 명확하다. 에이전트를 “더 똑똑하게” 만들기 전에, (a) 예산 상한/중복 호출 캐시/루프 탐지를 메트릭으로 정의하고, (b) 실제 돈이 나가는 행동은 LLM 바깥의 정책 엔진으로 격리하며, (c) 툴(MCP 포함)은 권한 최소화·입력 검증·감사 로그를 기본값으로 두자. 전환율을 올리는 최고의 카피는 ‘우리 에이전트는 잘한다’가 아니라 ‘우리는 망하지 않게 막아준다’로 바뀌고 있다.