Suno 해킹, 유튜브서 201만 클립 무단 수집 들통

실시간 키워드

2022.08.01 00:00 기준

Suno 해킹, 유튜브서 201만 클립 무단 수집 들통

위키트리 2026-07-17 23:41:41 신고

3줄요약

Suno 해킹, 유튜브서 201만 클립 무단 수집 들통 / AI 생성 일러스트(삽화)

AI 음악 생성 서비스 Suno(수노)가 해킹을 당해 그동안 감춰왔던 학습 데이터 수집 방식이 드러났다. 404 미디어(404 Media) 보도에 따르면 한 해커가 서플라이체인 공격(공급망을 통한 우회 침투)으로 Suno 직원의 접속 정보를 빼내 소스코드에 접근했고, 이를 통해 Suno가 유튜브 뮤직(YouTube Music), 디저(Deezer), 지니어스(Genius), 스톡 음원 라이브러리, 팟캐스트 RSS 피드 등에서 수십 년 치 오디오를 긁어모은 정황이 담긴 자료를 공개했다. Suno는 그간 “공개적으로 이용 가능한 음악 파일”로 학습했다고만 밝혀왔는데, 이번 유출로 구체적인 수집 규모와 방식이 처음으로 드러난 셈이다. 해커는 이 과정에서 고객 이메일, 전화번호, 스트라이프(Stripe)에 저장된 신용카드 일부 정보까지 함께 빼냈다고 주장했다. Suno는 이번 사고를 고객에게 알리지 않았고 “빠르게 통제된 제한적 보안 사고”라는 입장을 내놨다.

침투 경로, 서플라이체인 공격과 직원 크리덴셜

이번 해킹은 지난해 11월 발생했다. 테크크런치(TechCrunch)에 따르면 해커는 서플라이체인 공격 방식으로 Suno 직원 한 명의 계정 정보를 확보했고, 이를 발판으로 삼아 Suno가 유튜브 뮤직·디저·지니어스·스톡 음원 라이브러리·팟캐스트 RSS 피드에서 어떻게 오디오를 스크래핑했는지 보여주는 소스코드까지 들여다볼 수 있었다.

엔가젯(Engadget)은 해커가 Suno 직원 한 명에게 웜(자가 복제형 악성코드)을 심어 깃허브(GitHub)와 클라우드 서비스 접속 정보를 확보했다고 전했다. 이렇게 얻은 접근 권한으로 소스코드뿐 아니라 수십만 명 규모의 고객 명단, 이메일 주소, 전화번호까지 함께 빠져나갔다는 설명이다. 해커는 자신을 “ellie.191”이라 밝히고 관련 자료를 404 미디어에 제공했다고 더버지(The Verge)는 전했다.

소스코드가 드러낸 스크래핑 실태 / AI 생성 이미지

소스코드가 드러낸 스크래핑 실태

유출된 자료에는 2023년과 2024년 Suno 소스코드와 함께 유튜브 뮤직, 디저, 지니어스, 스톡 음원 업체 Pond5, 자멘도(Jamendo), 프리사운드(Freesound), 국제악보도서관프로젝트(IMSLP) 등에서 오디오 파일을 끌어오는 스크래핑 지침이 포함돼 있었다고 더버지는 전했다. 다른 유출 코드는 Suno가 제3의 데이터 수집 업체 브라이트데이터(Bright Data)를 이용해 유튜브에서 음악을 긁어모았고, 보컬만 담긴 음원을 확보하기 위해 노래의 아카펠라 버전을 직접 검색한 것으로 보인다고 설명했다.

수치도 구체적이다. 유튜브 뮤직 관련 파일 하나에는 마지막 업데이트 시점까지 Suno가 소비한 유튜브 뮤직 클립이 201만3545개로 기록돼 있었다. 또 다른 파일에 따르면 Suno가 구축한 데이터셋에는 수십만 시간 분량의 유튜브 뮤직, 수천 시간 분량의 디저·지니어스·IMSLP·자멘도·Pond5, 수백 시간 분량의 프리사운드·뮤즈스코어(MuseScore) 가사 데이터가 담겨 있었다. 추가로 유출된 코드는 Suno가 팟캐스트인덱스(PodcastIndex)라는 온라인 도구를 통해 약 100만 시간에 달하는 팟캐스트를 내려받으려 시도했다는 사실도 보여줬다.

저작권 소송과 Suno의 반론

Suno는 미국 음반산업협회(RIAA)가 낸 소송에서 저작권이 있는 자료를 학습에 활용했다는 사실을 공개적으로 인정한 바 있다. 다만 저작권 자료와 오픈 인터넷상 공개된 음악 파일을 학습에 쓰는 것은 공정 이용(fair use, 저작권법상 예외 조항) 원칙에 따라 합법이라고 주장해왔다. 더버지에 따르면 RIAA가 지난해 제출한 소송 수정안은 Suno가 유튜브의 저작권 보호 장치를 의도적으로 우회해 트랙을 “스트림 리핑(스트리밍 음원을 무단으로 파일로 저장하는 행위)”했다고 주장하고 있다.

이번에 유출된 자료가 그런 의혹을 뒷받침하는 정황으로 해석된다. 테크크런치는 메이저 레이블들이 Suno를 상대로 소송을 진행 중이며, 유튜브의 스크래핑 방지 장치를 고의로 우회하는 행위는 디지털밀레니엄저작권법(DMCA) 위반이자 유튜브 이용약관 위반이라고 주장하고 있다고 전했다. Suno 경쟁사인 우디오(Udio) 역시 유튜브 데이터를 스크래핑했다는 의혹을 받고 있으며, 유튜브 모회사인 구글도 여러 대형 출판사로부터 저작권 침해 의혹을 받고 있다고 테크크런치는 덧붙였다.

엔가젯에 따르면 Suno는 2024년 법원 제출 문서에서 자사 시스템이 인터넷에서 “수천만 개의 녹음”을 스크래핑해 학습 데이터로 썼다고 인정했다. 당시에도 이런 방식이 “저작권법상 공정 이용”에 해당한다고 주장했다. 지난해 말에는 워너뮤직그룹(Warner Music Group)이 Suno와 라이선싱 계약을 맺으며 소송에서 빠졌다고 엔가젯은 전했다.

고객정보 유출과 회사 측 해명

해킹 과정에서 고객 데이터도 함께 노출됐다. 엔가젯은 유출 자료에 수십만 명에 달하는 Suno 고객의 이메일 주소와 전화번호가 담겨 있었다고 전했다. 테크크런치는 여기에 더해 스트라이프에 저장된 신용카드 일부 번호까지 해커가 확보했다고 보도했다.

Suno는 지난해 11월 발생한 이 침해 사실을 고객에게 별도로 통지하지 않았다. 회사는 이를 “빠르게 통제된 제한적 보안 사고”라고 설명했다. 404 미디어에 낸 성명에서 이름을 밝히지 않은 Suno 대변인은 “공개 파일링과 공시에서 밝힌 바와 같이, Suno의 AI 모델은 오픈 인터넷상 제3자 웹사이트에서 접근 가능한 공개적으로 이용 가능한 음악 파일과 관련 메타데이터로 학습됐다”고 밝혔다. 회사는 또 아티스트의 기존 음악을 그대로 복제하지 못하도록 막는 시스템을 갖추고 있다는 점도 언급했다고 엔가젯은 전했다.

이번 유출은 Suno가 자사 학습 데이터의 출처를 구체적으로 밝히지 않아온 가운데 나온 만큼, 진행 중인 저작권 소송에 새로운 증거로 작용할 가능성이 있다. 동시에 고객 정보 유출 사실을 즉시 알리지 않은 점도 별도 논란으로 이어질 수 있어, Suno를 둘러싼 법적·신뢰 리스크가 한층 커질 것으로 보인다.

Copyright ⓒ 위키트리 무단 전재 및 재배포 금지

실시간 키워드

  1. -
  2. -
  3. -
  4. -
  5. -
  6. -
  7. -
  8. -
  9. -
  10. -

0000.00.00 00:00 기준

이 시각 주요뉴스

알림 문구가 한줄로 들어가는 영역입니다

신고하기

작성 아이디가 들어갑니다

내용 내용이 최대 두 줄로 노출됩니다

신고 사유를 선택하세요

이 이야기를
공유하세요

이 콘텐츠를 공유하세요.

콘텐츠 공유하고 수익 받는 방법이 궁금하다면👋>
주소가 복사되었습니다.
유튜브로 이동하여 공유해 주세요.
유튜브 활용 방법 알아보기