BambuStudio는 포크 이후 PrusaSlicer AGPL 라이선스를 위반해 왔다

• BambuStudio는 AGPL-3.0 기반 PrusaSlicer 포크로, 슬라이서 코드는 공개했지만 클라우드 통신용 네트워크 플러그인은 닫힌 바이너리로 남겼다는 의혹을 받음
• 닫힌 플러그인은 핵심 기능에 필요하고 BambuStudio 없이는 의미 있게 작동하지 않아, 파일 분리만으로 파생 저작물 의무를 피하기 어렵다는 쟁점이 있음
• 네트워크 바이너리 블롭은 번들되지 않고 런타임 다운로드되며, 공개 소스 감사만으로 실제 클라우드 통신 부분을 검토하기 어렵게 만듦
• Prusa 측은 법적 조치를 검토했지만 소프트웨어라 통관 차단이 어렵고, 중국 관할에서 중국 회사에 집행해야 하는 현실적 장벽이 있었다고 밝힘
• 중국의 정보·암호·데이터·취약점 관련 법제와 3D 프린팅의 산업 데이터 특성이 결합되며, 중국 제조사 네트워크 기능 전반의 위험으로 확장됨

BambuStudio의 AGPL 위반 쟁점

• PrusaSlicer와 BambuStudio의 관계

  • PrusaSlicer는 AGPL-3.0 라이선스를 적용한 Slic3r의 포크이며, 현재 코드베이스의 90% 이상이 Prusa 측에서 작성됐지만 Slic3r 계보를 유지함
  • BambuStudio는 PrusaSlicer의 포크로, 슬라이서 부분은 공개했지만 클라우드와 통신하는 네트워크 플러그인은 닫힌 바이너리로 남겼다는 의혹이 핵심임
  • AGPL-3.0은 포크와 상업적 배포를 허용하지만, 파생 저작물도 오픈소스로 유지해야 하는 강한 카피레프트 라이선스임

• 닫힌 네트워크 플러그인이 문제인 이유

  • 플러그인이 별도 저작물이므로 카피레프트 대상이 아니라는 방어 논리가 가능하지만, BambuStudio는 플러그인 없이는 핵심 기능을 수행할 수 없고 플러그인도 BambuStudio 없이는 의미 있게 작동하지 않는다는 반박이 있음
  • 두 구성요소가 우연히 통신하는 별개 제품이 아니라 하나의 제품을 두 파일로 나눈 구조라면 AGPL 의무를 피하기 어려워짐
  • 함수 호출 경계 너머로 코드를 옮기고 별도 저작물이라고 부르는 방식만으로 카피레프트 의무가 사라지지는 않음
  • OrcaSlicer는 BambuStudio를 포크하면서 같은 라이선스를 상속했고, 라이선스 규칙을 따른 사례로 남음

• 런타임 다운로드와 감사 한계

  • 네트워크 바이너리 블롭은 BambuStudio 내부에 번들되지 않고 런타임에 다운로드되는 구조로 지목됨
  • 공개된 BambuStudio 소스코드를 감사하더라도 실제로 클라우드와 통신하는 부분은 의미 있게 검토하기 어려움
  • 해당 바이너리는 공개된 소프트웨어 공급망 밖에 있고, 사용자가 통제하지 않는 CDN에서 도착하며, 실행할 때마다 Bambu 외부의 사전 검토 없이 교체될 수 있음
  • Josef Prusa는 이 구조를 2023년 3월 공개적으로 문제 삼았고, 같은 구조가 현재도 유지된다고 봄: x.com/josefprusa/status/1634250522843553797

• 법적 집행의 현실적 한계

  • Prusa 측은 당시 법적 조치를 진지하게 검토했지만, PrusaSlicer는 하드웨어가 아닌 소프트웨어라 통관에서 막을 박스 제품이 없었다고 밝힘
  • 라이선스 사용자의 관할이 중국에 있어, 중국 법원이 중국 회사에 중국법을 적용하는 사건이 될 가능성이 현실적 장벽으로 작용함
  • 집행 경로가 없는 라이선스는 실무적으로 권고에 가까워지고, Bambu는 결과적으로 네트워크 바이너리 블롭을 계속 유지함
  • 현재 작은 블랙박스를 열려는 소규모 개발자에게 법적 위협이 이어지는 상황과도 연결됨

• 초기 발견 경위

  • PrusaSlicer 2.4는 선택형 익명 텔레메트리를 도입했고, 출시 직후 데이터베이스에 “BambuSlicer”로 표시된 항목이 나타남
  • BambuStudio를 아직 알지 못하던 시점에 Bambu 내부 빌드가 실수로 Prusa 서버에 텔레메트리를 보내도록 설정돼, Prusa 측이 포크 존재를 알게 됨
  • 공개 출시 이후 커뮤니티는 AGPL 라이선스 준수를 위해 BambuLab에 BambuStudio 소스 공개를 요구함: x.com/Bryan_Vines/status/1542530102419939332
  • Prusa 측은 처음부터 이 소프트웨어의 출처와 계보를 알고 있었다고 밝힘: x.com/josefprusa/status/1542259514828791811

중국 법제와 3D 프린팅 데이터 위험

• 다섯 가지 법·규정이 만드는 환경

  • Josef Prusa는 BambuStudio의 네트워크 바이너리 문제를 중국 기업의 광범위한 법적 환경과 연결하며, 2017~2023년 사이 만들어진 다섯 가지 법·규정을 함께 봐야 한다고 봄
  • 국가정보법(2017) 은 모든 조직과 시민에게 정보 활동을 “지원, 협조, 협력”하도록 요구하고, 그런 협력이 있었다는 사실 공개도 금지함
  • 암호법(2020) 은 상업용 암호화를 국가 승인과 심사 대상으로 두며, 당국 요청 시 기업이 복호화 키나 평문을 제공해야 한다는 논리로 이어짐
  • 데이터보안법(2021) 제2조는 중국 국가안보나 공공이익과 관련된 데이터에 역외 적용 범위를 두며, 서버가 EU나 미국에 있어도 관할은 회사에 따라간다는 해석이 나옴
  • 반간첩법 개정(2023) 은 간첩 행위의 일반 정의를 국가안보와 이익 관련 “문서, 데이터, 자료, 물품”까지 넓혔고, 산업 데이터도 대상에 들어갈 수 있음
  • 네트워크 제품 보안 취약점 규정(2021) 은 소프트웨어 취약점을 발견한 기업이나 연구자가 48시간 안에 MIIT에 보고하도록 요구하며, 이후 정보가 국가안전부 제13국이 운영하는 CNNVD로 흘러간다고 제시됨

• 3D 프린팅이 민감한 이유

  • 다섯 법·규정을 함께 보면 협력은 의무이고, 암호화는 존재하지만 예비 키는 부처에 있으며, 관할은 국경을 넘어 회사에 따라가는 구조가 됨
  • 3D 프린팅은 2020년에 중국의 전략 분야가 됐고, 이후 Made in China 2025 계획에 들어갔다고 제시됨
  • 3D 프린터는 R&D 부서, 프로토타입 제작실, 방산 공급업체, 대학 연구실, 하드웨어 스타트업처럼 새 지식재산이 만들어지는 장소에 놓인다는 점에서 민감함
  • 슬라이서는 사용자의 컴퓨터에서 사용자가 가진 데이터와 접근 권한을 공유하므로, 발명되는 대상 바로 옆에 있는 기계와 같은 데이터 흐름에 놓임
  • Josef Prusa는 Bambu 내부에서 무슨 일이 일어나는지 안다고 단정하지 않지만, 같은 문제의식은 3D 프린팅뿐 아니라 카메라, 자동차, 코딩 도구 안에서 데이터를 수집하는 무료 AI 모델 등 중국 제조사 전반에도 적용된다고 봄