음악과 AI 사기를 상징하는 편집 이미지 — 오디오 파형 속에 숨겨진 신원 신호를 시각적으로 표현했다.
Artificial IntelligenceMusic IndustryTechnology

스포티파이에서 가짜 곡 7,500만 개가 삭제됐습니다. 진짜 문제는 걸리지 않은 곡들입니다.

아슈토시 싱할아슈토시 싱할2026년 2월 23일12 min

몇 달 전, 저는 한 음악 유통업체 관계자와의 미팅에 참석했는데, 그는 오디오 산업 전체를 바라보는 제 시각을 완전히 바꿔놓은 이야기를 들려주었습니다. 그는 자사의 일일 수집 파이프라인을 보여주는 대시보드를 띄웠습니다. "이거 보이세요?" 그는 새로운 업로드가 흐르는 피드를 스크롤하며 말했습니다. "우리 플랫폼 한 곳만 해도 하루에 약 4,000개의 트랙이 들어옵니다. 제 추정으로는 그중 3분의 1은 오늘 아침 당신이 양치질하는 데 쓴 시간보다도 짧은 시간에 만들어진 것들이죠."

저는 웃었습니다. 그는 웃지 않았습니다.

그는 과장하고 있지 않았습니다. 스포티파이 한 곳만 해도 대략매일 100,000개의 새로운 트랙을 수집합니다. 각 트랙을 30초씩만 들어본다고 해도, 단 하루치 업로드를 다 듣는 데만 쉬지 않고 재생해서 35일이 걸립니다. 그리고 이렇게 홍수처럼 쏟아지는 것들 중 점점 더 많은 부분이 어떤 의미로도 음악이라 할 수 없습니다 — 그것은 실제로 예술을 만드는 사람들로부터 돈을 빼내도록 알고리즘으로 생성된 소음일 뿐입니다.

이것이 바로 제가 최근 커리어의 한 시기를 Veriprajna에서 몰두해 온 오디오 워터마킹 문제입니다. 워터마킹이 화려한 기술이어서가 아니라 — 결코 그렇지 않습니다 — 업계가 의존하고 있는 다른 모든 해결책에 아무도 솔직하게 이야기하고 싶어 하지 않는 치명적인 결함이 있기 때문입니다.

당신의 플레이리스트에 숨어 있는 30억 달러 규모의 절도

당신이 음악가이든, 청취자이든, 아니면 그저 매달 $10.99를 내고 스트리밍을 구독하는 사람이든, 화가 날 수밖에 없는 대목이 여기 있습니다.

대부분의 주요 플랫폼이 아티스트에게 돈을 지급하는 방식을 가리켜프로라타(pro-rata) 모델이라고 부릅니다. 모든 구독료와 광고 수익이 하나의 거대한 풀로 모입니다. 그 풀은 플랫폼 전체의 총 스트리밍 수로 나뉩니다. 스트리밍당 단가는 전체의 극히 일부에 불과합니다.

이는 모든 가짜 스트리밍이 단지 플랫폼에서만 훔치는 것이 아니라 — 모든 진짜 아티스트로부터 훔친다는 뜻입니다. 봇 팜이 AI로 생성한 백색소음에 10억 회의 재생을 만들어내면, 그것은 분모를 부풀립니다. 스트리밍당 지급액은 모두에게 떨어집니다. 침실에서 여섯 달에 걸쳐 앨범을 쓴, 당신이 가장 아끼는 독립 아티스트는 다른 나라의 사기 조직이 1만 개의 빗소리 루프를 업로드하고 봇넷을 그들에게 겨누었다는 이유로 더 적은 돈을 받게 됩니다.

업계 추정치는 연간 피해액을20억 달러에서 30억 달러로산정합니다. Deezer는AI로 생성된 트랙에 대한 재생의 70%가자사 플랫폼에서 사기로 표시되었다고 보고했습니다. 스포티파이는7,500만 개가 넘는 트랙을2024년과 2025년 단 두 해 동안에만 삭제해야 했습니다 — 이는 녹음된 음악의 역사 전체 카탈로그 규모에 맞먹는 숫자입니다.

모든 사기 스트리밍은 단지 플랫폼에 대한 절도가 아닙니다. 그것은 모든 정당한 아티스트에게 부과되는 세금이며, 줄어드는 로열티 풀을 통해 보이지 않게 지불됩니다.

저는 그 스포티파이 삭제 수치가 발표되던 밤을 기억합니다. 저는 책상 앞에 있었고, 제 첫 반응은 안도였습니다 — 마침내 플랫폼들이 이 문제를 진지하게 받아들이는구나. 약 10분 뒤에 찾아온 두 번째 반응은 두려움이었습니다. 왜냐하면 7,500만이라는 숫자는 그들이적발한숫자이기 때문입니다. 빠져나간 것들은 어떻게 된 걸까요?

오디오 지문 인식은 왜 AI 음악 앞에서 실패하는가?

오디오 지문 인식(식별)이 새로운 AI 콘텐츠 앞에서 실패하는 반면, 오디오 워터마킹(인증)은 생성 시점에 출처를 삽입함으로써 성공하는 방식을 나란히 비교해 보여주는 다이어그램.

이것이 바로 우리가 지금 만들고 있는 것을 만들기 시작하게 만든 질문입니다. 그리고 그 답은 일단 보고 나면 놀라울 만큼 단순합니다.

음악 업계의 주된 방어 시스템은오디오 지문 인식입니다 — Shazam, YouTube의 Content ID, 그리고 대부분의 권리 관리 플랫폼을 뒷받침하는 기술이죠. 지문 인식은 오디오 조각에서 지각적 서명을 추출하여 이를 알려진 녹음물의 방대한 데이터베이스와 대조하는 방식으로 작동합니다.

여기 문제가 있습니다:생성형 AI는 복제하지 않습니다. 합성합니다.

확산 모델(diffusion model)이 새로운 트랙을 생성할 때, 그것은 이전에 존재한 적 없는 파형을 만들어냅니다. 어떤 지문 인식 데이터베이스에도 대조할 항목이 없습니다. Content ID에게는 완전히 새로운 AI 스팸 트랙이 완전히 새로운 인간의 걸작과 똑같아 보입니다. 둘 다 그저 "알 수 없는 콘텐츠"일 뿐입니다.

저는 이것을 독창성 역설(Originality Paradox)이라고 부르는데, 이것이 바로 우리가 첫 테스트를 진행한 뒤 제가 약 일주일간 잠을 이루지 못한 이유입니다. 우리는 일련의 AI 생성 트랙을 — 일부는 기존 아티스트를 명백히 파생한 것이었고, 일부는 완전히 새로운 것이었습니다 — 표준 지문 인식 파이프라인에 통과시켰습니다. 파생된 것들은 이따금 부분 일치를 일으켰습니다. 새로운 것들은요? 탐지 시스템으로부터 완전한 침묵뿐이었습니다. 단 하나의 표시도 없었습니다.

제 공동창업자는 그 결과를 보고 말했습니다. "그러니까 AI가 독창적으로 되는 데 능숙해질수록, 우리의 탐지 성능은 더 나빠진다는 거네요?" 그렇습니다. 정확합니다. 그것이 바로 함정입니다.

지문 인식은 식별 기술입니다. 그것은 어떤 것이 무엇인지 알려줍니다. 워터마킹은 인증 기술입니다. 그것은 어떤 것이 어디에서 왔는지 알려줍니다. 음악 업계는 잘못된 도구를 사용해 왔습니다.

저는 이 구분에 대해 — 그리고 지문 인식이 무너지는 이유 뒤에 있는 전체 기술 아키텍처에 대해 —우리의 인터랙티브 백서에서 다뤘습니다. 하지만 짧게 말하면 이렇습니다: 지문 인식은 반응적입니다. 그것은 콘텐츠가 이미 존재하고 등록되어 있어야 합니다. 우리에게는 능동적인 무언가가 — 생성의 순간에 출처를 삽입하는 무언가가 필요했습니다.

우리가 눈여겨보지 않는 사이 사기는 더 영리해졌다

AI 트랙 생성부터 봇넷 유통을 거쳐 로열티 풀 추출에 이르기까지, 현대의 "낮고 느린(low and slow)" AI 음악 사기 킬 체인을 보여주는 순서도 다이어그램.

저를 잠 못 들게 한 또 다른 것은 이 사기 작업들이 지금 실제로 어떻게 돌아가는지를 알게 된 일이었습니다. 예전 수법은 조잡했습니다: 트랙을 하나 업로드하고, 단일 IP 주소에서 수백만 회의 스트리밍을 퍼붓고, 돈을 챙기는 것이었죠. 플랫폼들은 몇 년 전에 그것을 잡아냈습니다.

새로운 수법은 소름 끼칠 만큼 정교합니다. 그들은 그것을 "낮고 느린(low and slow)" 방식이라고 부릅니다.

하나의 트랙이 100만 회의 가짜 스트리밍을 얻는 대신, 사기 조직은 AI를 사용해1만 개의 트랙을생성합니다. 그런 다음 봇넷이 각 트랙을 딱 100번씩만 재생합니다. 합산된 지급액은 동일하지만, 어떤 단일 트랙도 바이럴 급증 경보를 발동시키지 않습니다. 사기는 롱테일 속에 숨어, 정당한 데이터의 엄청난 양 아래 파묻힙니다.

그리고 이러한 작업 뒤에 있는 인프라는 기업급 수준에 도달했습니다. 각 스트리밍이 서로 다른 가정에서 오는 것처럼 보이도록 침해된 IoT 기기를 통해 트래픽을 라우팅하는 주거용 프록시(residential proxy) 이야기입니다. 참여 분석을 속이기 위해 마우스 움직임, 일시정지, 트랙 건너뛰기, 검색 등 인간의 행동을 흉내 내는 스크립트를 실행하는 헤드리스 브라우저가 있습니다. "코딩을 위한 차분한 로파이(Chill Lo-Fi for Coding)" 같은 SEO 최적화 제목을 단 AI 생성 플레이리스트는, 주요 아티스트의 정당한 히트곡 몇 개를 수십 개의 스팸 트랙과 섞어 사기를 위장하고, 때로는 플랫폼의 추천 알고리즘까지 속여 가짜 트랙을 실제 청취자에게 내보내게 만들기도 합니다.

어느 오후 저는 우리 팀과 함께 앉아 이 킬 체인을 화이트보드에 그려보고 있었는데, 누군가 이렇게 말했습니다. "이건 음악 불법 복제가 아니에요. 마침 오디오 파일을 수단으로 삼은 금융 사기죠." 그 재해석이 우리에게 모든 것을 바꿔놓았습니다.

스피커로 노래를 재생하고 그것을 다시 녹음하면 어떤 일이 벌어질까?

자기상관 기반 워터마크가 아날로그 갭에서 어떻게 살아남는지를 보여주는 주석이 달린 다이어그램 — 반복되는 워터마크 블록이 실내 음향에 의해 동일하게 왜곡되면서 그 내부 관계를 보존한다.

이것은 진지한 워터마킹을 그 밖의 모든 것과 구분 짓는 기술적 과제이며, 우리 팀이 이를 해결해낸 것에 대해 제가 가장 자랑스럽게 여기는 부분입니다.

이것을 가리켜아날로그 갭(Analog Gap)이라고 부릅니다 — 때로는 아날로그 홀(Analog Hole)이라고도 하죠. 딥페이크 노래가 누군가의 노트북 스피커에서 재생된다고 상상해 보세요. 소리는 공기를 통해 이동합니다. 누군가 그것을 자신의 휴대폰으로 녹음합니다. 그 녹음물이 플랫폼에 업로드됩니다.

그 여정 동안, 오디오 신호는 데이터 보존에 거의 우스울 정도로 적대적인 방식으로 파괴됩니다. 소리는 벽과 바닥, 가구에 반사되고 — 마이크는 직접 신호에 더해 수천 개의 약간씩 지연된 반사음을 받아들입니다. 값싼 스피커는 300Hz 미만과 15kHz 초과의 모든 것을 잘라냅니다. 녹음 장치는 워터마크가 어디에서 "시작"되는지 모르기 때문에, 신호 전체가 동기화가 어긋납니다.

MP3 압축 — 디지털 갭 — 에서 살아남는 대부분의 워터마킹 시스템은 아날로그 갭에서 즉시 죽습니다. 그런데도 아날로그 갭은 소셜 미디어에서 공유되거나, 라디오에서 재생되거나, 실시간 통화 중에 포착되는 딥페이크를 탐지하는 데 가장 중요한 바로 그 시나리오입니다.

우리는 효과가 있는 접근법을 찾기 전까지 몇 주 동안 이것에 실패했습니다. 돌파구는 우리가 수신된 신호를 외부 기준과 비교해서는 안 된다는 것을 깨달은 데 있었습니다. 대신, 우리는 신호 자체 안에 반복되는 패턴을 삽입하고자기상관(autocorrelation)을 사용합니다 — 신호가 자기 자신을 자기 자신과 비교하는 것이죠.

이것이 왜 영리한지 말씀드리면: 오디오가 잔향이 있는 방을 통과할 때,신호 전체가똑같은 방식으로 왜곡됩니다. 우리의 반복되는 워터마크의 블록 A와 블록 B는 둘 다 동일한 실내 음향에 의해 뭉개집니다. 절대 신호가 망가지더라도 그 둘 사이의 관계는 살아남습니다. 탐지기는 알려진 간격에서 자기상관의 주기적 스파이크를 찾고, 그 스파이크는 원본 오디오가 어떤 소리였는지 전혀 알 필요 없이 워터마크의 존재를 확인해 줍니다.

연구실에서 있었던 한 순간이 있었습니다 — 그리고 저는 "연구실"이라는 말을 느슨하게 쓰고 있는데, 사실 그것은 노트북 한 대와 편의점에서 산 블루투스 스피커가 있는 회의실에 불과했습니다 — 우리는 워터마크가 삽입된 트랙을 그 형편없는 스피커로 재생하고, 방 건너편에서 휴대폰으로 그것을 녹음한 뒤, 탐지기를 돌렸습니다. 결과가 양성으로 나오자, 제 엔지니어는 저를 바라보며 아주 조용히 말했습니다. "이게 됐을 리가 없는데요." 하지만 됐습니다. 그리고 바로 그때 저는 우리가 뭔가를 갖고 있다는 것을 알았습니다.

공격자가 그냥 워터마크를 제거해 버리면 되지 않을까?

이것은 모두가 가장 먼저 제기하는 반론이며, 정당한 반론입니다.

정교한 공격자들은 분명히 AI를 사용해 워터마크를 찾아내고 벗겨내려 할 것입니다. 그렇지 않으리라 생각하는 것은 순진한 일이겠죠. 이것이 바로 우리의 학습 파이프라인이 "노이즈 추가"나 "MP3로 압축" 같은 알려진 공격의 고정된 목록에만 방어하지 않는 이유입니다. 우리는적대적 학습 프레임워크(adversarial training framework)를사용합니다 — 본질적으로, 우리는 워터마킹 시스템과 나란히 공격자 네트워크를 학습시킵니다. 공격자는 오디오를 들을 수 있게 유지하면서 워터마크를 파괴하려 합니다. 인코더는 그 공격에서 살아남도록 적응합니다. 그들은 학습이 시작될 때는 존재하지도 않았던 공격에서 워터마크가 살아남을 때까지 수천 번의 반복을 거치며 이 미니맥스 게임을 벌입니다.

그 결과: 우리 시스템은공격적인 편집 하에서도 98%가 넘는 귀속 정확도를달성합니다 — 시간 늘리기, 음높이 이동, 잘라내기 등에서 말이죠. 사기꾼이 30초짜리 클립을 10초로 잘라내더라도, 탐지기는 그 조각으로부터 출처 서명을 디코딩하기에 충분한 통계적 증거를 축적합니다.

확산 스펙트럼 삽입, SVD 분해, 그리고 적대적 저항 프로토콜에 대한 전체 기술 설명은우리의 연구 논문을참고하세요. 하지만 핵심 통찰은 어떤 단일 기법에 관한 것이 아닙니다 — 그것은 워터마크가 오디오의구조 속에 살아 있으며, 그 표면에 있지 않다는 점입니다. 표면은 모래로 갈아낼 수 있습니다. 구조는 견뎌냅니다.

소리를 위한 영양성분표

워터마크 그 자체는 하나의 연결 고리입니다. 그것은 "이 오디오는 표시되었다"고 말합니다. 하지만 누구에 의해 표시되었나요? 무슨 목적으로요? 진정한 신뢰 생태계를 구축하려면, 그 음향 신호를 검증 가능한 신원에 연결해야 합니다.

바로 여기서 우리는C2PA — 콘텐츠 출처 및 진위성 연합(Coalition for Content Provenance and Authenticity)와 통합합니다 — 디지털 콘텐츠를 위한 영양성분표처럼 기능하는 개방형 표준이죠. 그것은 누가 자산을 만들었는지, 그것이 어떻게(인간인지 AI인지) 만들어졌는지, 그리고 어떤 편집이 이루어졌는지를 암호학적으로 기록합니다.

메타데이터에만 의존하는 해결책의 취약점은 명백합니다: 서명된 WAV를 일반적인 MP3로 변환하면, 메타데이터 헤더가 사라집니다. 그것을 라디오에서 재생하면, 사라져 버립니다. 하지만 우리의 워터마크는 그러한 변환에서도 살아남습니다. 그래서 우리는 워터마크를소프트 바인딩(soft binding)으로 사용합니다 — 그것은 클라우드에 호스팅된 C2PA 매니페스트를 가리키는 고유 식별자를 담고 있습니다. 메타데이터를 벗겨내고, 형식을 변환하고, 공기를 통해 재생한 뒤 다시 녹음해 보세요. 워터마크는 지속됩니다. 탐지기는 그 식별자를 추출하고, 원장을 조회하여, 전체 출처 기록을 가져옵니다.

출처는 콘텐츠와 함께 이동해야 하며, 누군가 "MP3로 내보내기"를 클릭하는 순간 벗겨지는 헤더 안에 머물러서는 안 됩니다.

그리고 프라이버시를 걱정하는 이들을 위해 — 반체제 언론인이나 익명의 아티스트가 파일이 진짜임을 증명하기 위해 자신의 법적 이름을 파일에 붙여야 할 필요는 없습니다. C2PA는 가명 주장과 선택적 공개를 지원합니다. 아티스트는 자신의 집 주소를 드러내지 않고도, 신뢰할 수 있는 제3자가 발급한 자격 증명에 연결된 "Verified Creator #892"로 트랙에 서명할 수 있습니다.

그냥 검토 인력을 더 고용하면 안 되는가?

경제적으로 불가능하기 때문입니다. 연구에 따르면 인간 검토자는 뉘앙스와 맥락을 탐지하는 데 더 정확하지만, 그 비용은 거의40배 더 많이 드는데, 자동화 시스템에 비해서 말이죠. 그리고 인간의 청각은 생물학적으로 충분하지 않게 되어가고 있습니다 — 고품질 AI 음성 복제를 실제 녹음과 구별하는 것은 우리 귀가 할 수 있는 한계에 가까워지고 있는 반면, 기계에게는 여전히 수학적으로 다룰 수 있는 문제로 남아 있습니다.

업계는 소프트웨어의 규모와 비용으로 인간 판단의 뉘앙스를 필요로 합니다. 그것이 바로 결정론적 워터마크 탐지가 제공하는 것입니다. 워터마크는 존재하거나 존재하지 않거나 둘 중 하나입니다. 해석해야 할 신뢰도 점수도 없고, 무승부를 가르기 위해 인간 검토자를 요구하는 확률 곡선도 없습니다. 이것은 완전히 자동화된 조치를 — 수익화 차단, 표시, 게시 중단을 — 법적 수준의 확실성과 함께 가능하게 합니다.

갈림길

사람들은 이따금 제게 AI가 음악 업계를 파괴할 것이라고 생각하느냐고 묻습니다. 저는 그렇게 생각하지 않습니다. 저는 음악 업계가 괜찮을 것이라고 생각합니다 —만약 지난 시대를 위해 만들어진 도구가 이번 시대에도 통한다고 믿는 척하는 것을 멈춘다면 말이죠.

지문 인식은 콘텐츠가 인간에 의해 만들어지고 과제가 복제본을 식별하는 것이던 세계를 위해 만들어졌습니다. 우리는 이제 콘텐츠가 기계에 의해 만들어지고 과제가 원본임을 증명하는 것인 세계에 살고 있습니다. 이것들은 근본적으로 다른 문제이며, 근본적으로 다른 인프라를 필요로 합니다.

로열티 지급에 대한 스포티파이의 1,000회 스트리밍 최소 기준은 정책적 임시방편입니다. 사용자 중심 지불 모델은 구조적 개선입니다. 하지만 어느 쪽도 근본 원인을 해결하지는 못합니다:플랫폼들은 현재 새로운 AI 트랙과 새로운 인간 트랙의 차이를 구별하지 못합니다. 그것이 바뀌기 전까지는, 다른 모든 해결책은 하류에 불과합니다.

생성 능력은 이제 흔한 상품입니다. GPU나 API 키를 가진 사람이라면 누구나 파이프라인을 넘치게 할 수 있습니다. 희소성은 — 따라서 가치는 — 출처로 옮겨갔습니다. 중요한 것은무엇이 만들어졌는가가 아니라,누가 그것을 만들었는가,어떻게, 그리고그것이 진짜인가입니다.

AI 음악의 미래는 최고의 멜로디를 생성하는 모델에 관한 것이 아닙니다. 그것은 그 멜로디가 진짜이고, 정당한 대가를 받으며, 인정받는다는 것을 보장하는 인프라에 관한 것입니다.

EU AI 법(EU AI Act)과 계류 중인 미국의 딥페이크 규제와 함께, 워터마킹은 선택 사항에서 필수 사항으로 옮겨가고 있습니다. 문제는 업계가 출처 표준을 채택할지 여부가 아닙니다. 문제는 로열티 풀이 바싹 말라버리기 전에 채택할지, 아니면 그 후에 채택할지입니다.

저는 그 내기에서 제가 어느 편에 서서 만들고 있는지 알고 있습니다. 워터마크를 넣을 수 없다면, 생성하지 마십시오. 이것은 구호가 아닙니다. 이것은 신뢰할 수 있는 오디오 인터넷을 가능하게 하는 유일한 운영상의 현실입니다.

관련 연구

다른 채널에도 게시됨

확신을 가지고 AI를 구축하세요.

차세대 엔터프라이즈 AI 구축에 깊은 경험을 갖춘 팀과 협업하세요. 신뢰할 수 있는 AI 전략을 설계하고 구축하며 배포할 수 있도록 지원해 드리겠습니다.

Veriprajna 딥테크 컨설팅 은(는) 헬스케어, 금융, 규제 분야를 위한 안전 필수 AI 시스템 구축을 전문으로 합니다. 당사의 아키텍처는 확립된 프로토콜에 따라 검증되며 포괄적인 규정 준수 문서를 갖추고 있습니다.