해커가 스노의 예전 소스코드를 유출하면서 AI 음악 학습 데이터의 실체가 드러났어요. 유튜브뮤직에서만 201만 곡, 11만 3879시간 분량을 몰래 긁어간 사실이 확인됐어요. 스노는 2025년 11월 유출을 알고도 침묵했고, 이용자 정보 유출도 함께 드러났어요.
솔직히 이 얘기 처음 봤을 때 좀 놀랐어요. AI 음악 생성 서비스 스노(Suno)가 유튜브뮤직에서만 노래 201만 3545곡, 총 11만 3879시간 분량을 몰래 긁어다 AI를 학습시켰다는 사실이 해킹을 통해 드러났거든요.
사건은 이래요. 'ellie.191'이라는 닉네임을 쓰는 해커가 샤이훌루드(Shai-Hulud)라는 npm 공급망 웜을 이용해서 스노의 2023~2024년 소스코드를 빼냈어요. 샤이훌루드는 팔로알토네트웍스 유닛42가 2025년 9월 npm 생태계 사상 최초의 자기복제형 웜으로 지목했던 그 악성코드예요. 개발자 npm 설치 과정에 숨어들어서 깃허브 토큰이랑 클라우드 자격증명을 훔친 다음, 그 정보로 저장소랑 인프라에 접근하는 방식이죠.
근데 진짜 문제는 이 해킹 자체가 아니에요. 유출된 코드에 스노가 어디서 학습 데이터를 긁어왔는지가 그대로 남아있었다는 거예요. 유튜브뮤직 말고도 디저(Deezer) 1만 2287시간, 지니어스(Genius) 1만 7615시간, 폰드5(Pond5) 6만 2117시간, 자멘도(Jamendo) 3726시간, 국제악보도서관프로젝트(IMSLP) 1만 9514시간, 그리고 팟캐스트 약 42만 개에서 뽑아낸 약 100만 시간 분량까지 포함돼 있었어요.
사실 이 사건이 처음 벌어진 건 2025년 11월이에요. 스노는 그때 이미 침해 사실을 알았는데도 "제한적이고 신속히 차단했다"고만 밝히고 공개적으로는 입을 다물었대요. 그 사이에 고객 이메일, 전화번호, 스트라이프 결제 정보까지 같이 새어나갔는데 이용자들한테는 따로 알리지도 않았고요.
개인적으로 이 부분이 제일 씁쓸해요. AI 회사들이 학습 데이터 출처를 두고 계속 영업비밀이라며 말을 아끼는데, 결국 이런 식으로 해킹을 통해서만 진실이 드러난다는 게요. 스노는 그동안 저작권 관련 소송에서 "합법적으로 라이선스된 데이터로만 학습한다"는 입장을 유지해왔거든요. 근데 이번에 나온 정황은 그 주장이랑 정면으로 부딪혀요.
업계에서는 이 사건이 다른 AI 음악·이미지 생성 서비스들한테도 불똥이 튈 거라는 얘기가 나와요. 학습 데이터 출처