내 인슐린 펌프 제어 장치는 리눅스 커널을 사용하지만 GPL을 위반함

 (old.reddit.com)
1P by GN⁺ 10일전 | ★ favorite | 댓글 1개
  • 인슐린 펌프를 제어하는 의료기기 컨트롤러리눅스 커널을 기반으로 동작함
  • 해당 장치가 GPL(일반 공중 사용 허가서) 조건을 준수하지 않아 라이선스 위반 상태임
  • 사용자는 소스 코드 공개 의무가 지켜지지 않는 점을 문제로 지적함
  • 커뮤니티에서는 오픈소스 소프트웨어의 투명성의료기기 신뢰성이 함께 논의됨
  • GPL 위반이 의료기기 분야의 오픈소스 활용 한계를 드러내는 사례로 주목됨

리눅스 커널 기반 인슐린 펌프 컨트롤러

  • 인슐린 펌프를 제어하는 장치가 리눅스 커널을 사용하고 있음
    • 장치는 인슐린 투여를 자동으로 조절하는 기능을 수행
    • 리눅스 커널이 내장되어 있음이 사용자에 의해 확인됨
  • 해당 장치가 GPL 라이선스 조건을 위반하고 있음
    • GPL은 커널을 사용하는 제품이 소스 코드 공개 의무를 지도록 규정
    • 그러나 이 장치는 소스 코드 접근이 불가능한 상태로 판매되고 있음

GPL 위반 문제와 오픈소스 투명성

  • 사용자는 GPL 위반 사실을 지적하며 소스 코드 공개 요구를 제기
    • 커널 사용 사실이 명확함에도 불구하고 제조사가 코드를 제공하지 않음
  • 커뮤니티에서는 의료기기 제조사가 오픈소스 의무를 무시하는 문제를 비판
    • GPL 위반은 단순한 법적 문제를 넘어 사용자 안전과 신뢰성에도 영향을 미침

의료기기와 오픈소스의 충돌

  • 의료기기 산업에서 폐쇄적 펌웨어 정책이 일반적임
    • 이로 인해 오픈소스 커뮤니티와의 법적·윤리적 충돌이 발생
  • 리눅스 커널을 사용하는 의료기기의 GPL 위반은 투명성 부족의 대표 사례로 언급됨
    • 오픈소스 기반 기술이 의료기기에 적용될 때 공개 의무 준수가 중요함

커뮤니티 반응

  • 일부 사용자는 GPL 준수 강제 조치를 요구
    • 제조사가 커널 소스를 공개해야 한다는 의견 제시
  • 다른 사용자들은 의료기기 안전성법적 책임 문제를 함께 논의
    • 오픈소스 소프트웨어가 의료기기에서 사용될 때의 규제 공백이 지적됨

시사점

  • 이 사례는 GPL 위반이 실제 의료기기에서 발생한 드문 사례로 주목됨
  • 오픈소스 커뮤니티와 의료기기 산업 간의 법적·윤리적 균형 필요성을 보여줌
  • 향후 리눅스 커널 사용 제품의 라이선스 준수 강화가 요구됨
GN⁺ 10일전  [-]
Hacker News 의견들
  • 나는 Insulet에 GPLv2로 라이선스된 커널 소스 코드를 요청하려 했음
    하지만 단순히 “GPL이 있으니 소스를 줘야 한다”는 건 오해임
    실제로는 회사가 사용자에게 ‘서면 제안서(written offer)’ 를 보내야 하고, 사용자는 그 제안을 근거로 소스 코드를 요청할 수 있음
    만약 회사가 제안을 보냈는데 이행하지 않으면 계약 위반이지만, 애초에 제안 자체를 보내지 않았다면 그건 GPL 위반이 됨 (법률 전문가는 아님)
    • 이건 아직 법적으로 명확히 정리되지 않은 쟁점
      Conservancy v Vizio 사건에서 소비자도 GPL을 직접 집행할 수 있는 권리가 있는지를 다투고 있음
    • 서면 제안서의 3년 유효기간은 여러 배포 방식 중 하나일 뿐임
      제안 자체가 없었다면 그 조항의 보호를 받지 못하고 다른 방식으로 GPL을 준수해야 함
    • “서면 제안이 계약 위반이냐”는 질문에 대해, 단순한 제안은 계약과 다르다는 의견도 있음
    • 미국에서는 이런 해석이 가능하겠지만, 독일에서는 최종 사용자도 직접 소스 코드를 요구해 소송할 수 있음
    • GPL 자체가 계약이므로, 여기서 구분해야 할 건 라이선서–라이선시 간 계약라이선시–사용자 간 관계의 차이임
  • 회사 내부자가 쓴 상위 댓글을 꼭 읽어보라고 권하고 싶음
    하드웨어 개발을 비용 센터로 보고 외주화하는 경우가 많아, 실제로 GPL 요청을 처리할 사람이 남아 있지 않은 경우가 흔함
    프런트라인 지원팀은 이런 요청을 처리할 역량이 없고, 내부에서 메일이 돌다가 잊히기 일쑤임
    법무팀으로 가면 계산기를 두드려 “이게 진짜 법적 리스크가 있나?”를 따지고, 대부분은 무시함
    예전에 GPL 관련 이슈가 많던 회사에서 일할 때, 나는 모든 릴리스마다 GPL tarball을 보관하도록 했고, 지원팀에 교육도 시켰음
    요청의 70%는 “왜 전체 소스를 안 주냐”는 오해에서 비롯된 분노였음
    이런 경험 덕분에 지원팀이 GPL 요청을 꺼리는 이유를 이해하게 됨
    • 하지만 만약 비GPL 코드가 GPL 코드와 직접 연결(link) 되어 있다면, 그 사용자들의 불만이 정당했을 수도 있음
  • 이런 경우엔 법무팀을 통해 변호사 경로로 연락하는 게 정답임
    엔지니어나 지원팀이 회사 자산을 넘길 법적 결정을 내릴 리 없음
    FSF가 법적 근거와 손해배상 청구 절차를 담은 요구서 템플릿을 공개해주면 큰 도움이 될 것 같음
    • “그건 회사 자산이 아니다”라는 반론도 있음
  • 만약 GPL이 적용된 부분이 리눅스 커널 하나뿐이라면, 특별한 소스 코드를 받을 권리는 거의 없을 것임
    커널을 사용하는 것만으로 사용자 공간(userspace) 프로그램에 GPL 의무가 생기지 않음
    아마도 커스터마이징되지 않은 커널과 오픈소스 사용자 공간 프로그램 조합일 가능성이 큼
    • 그렇다면 소스 코드 제공은 아주 간단히 처리할 수 있어야 함
    • 또한 GPL shim을 사용하는 드라이버 모듈(예: NVIDIA 드라이버)은 GPL 적용 대상이 아니므로, 저자가 왜 위반이라 생각하는지 이해가 안 됨
  • 이런 라이선스 위반 논의는 정말 스트레스를 줌
    위반이라면 그냥 소송을 제기해서 법원이 판단하게 하면 됨
    의료기기라면 수백 달러 정도의 비용으로 충분히 시도해볼 만함
    • 하지만 OP는 리눅스 커널의 저작권자가 아닐 가능성이 높음
    • 게다가 소송이 수백 달러로 끝날 리는 없음
  • 만약 커널을 직접 빌드했다면, 그냥 공식 리눅스 커널 저장소 링크를 알려주는 것만으로 충분할 수도 있음
    • 하지만 회사가 상용 목적으로 직접 빌드했다면 GPLv2 3(c)의 두 조건을 모두 충족하지 못하므로, 그 조항을 적용할 수 없음
  • 혹시 Omnipod 얘기 아님?
    리콜도 많았고, 그들의 하드웨어·소프트웨어 품질은 믿기 어려움
    그 회사에서 일했던 사람에게는 미안하지만, 더 나은 곳에서 일하고 있길 바람
  • 인슐린 비의존자인 내가 궁금한 건, 왜 인슐린 펌프가 휴대폰으로 제어되어야 하느냐는 것임
    블루투스 컨트롤러만 써도 될 텐데, 굳이 중국산 저가폰을 쓰는 건 데이터 유출 위험이 커 보임
    • 보안 때문임. PDM은 완전히 격리되어 있고, 앱 설치나 Wi-Fi 연결이 불가능함
      잘못 제어되면 치명적인 인슐린 과다 투여가 일어날 수 있음
      재미있게도 같은 회사의 Omnipod 5는 미국에서는 일반 스마트폰으로 제어 가능함
    • 예전에는 펌프를 외부 기기로 제어하려면 반드시 자체 컨트롤러를 제공해야 했음
      그래서 Insulet이 별도의 기기를 낸 것임
      Dexcom G7 같은 CGM도 같은 이유로 ‘컨트롤러’를 함께 판매함
      최근에는 FDA가 이런 요구를 완화해, 이제는 사용자 휴대폰을 전제로 한 제품도 허용함
  • 사실 이 장치는 이미 리버스 엔지니어링(RE) 이 되어 있음
    Loop, Trio, OpenAPS 같은 프로젝트를 보면 알 수 있음
    Insulet은 이런 해킹에 꽤 관대했음
    지금 필요한 건 Omnipod 5의 RE를 돕는 것임
    • 나도 Omnipod 5 RE 작업을 아는 몇 명과 접촉 중임
      현재 문제는 PDM/앱이 로그인 시 API에서 개인 키를 받아 키체인에 저장하고, SSL pinning으로 중간자 공격을 막는다는 점임
      아직 개인 키를 추출하지 못해 진전이 더딤
    • Minimed 펌프(780G)의 혈당 데이터 읽기 RE를 시도 중인데, 아직 완전히 해결되지 않음
      언젠가 기여할 수 있길 바람
  • 혹시 이런 사안을 FSF에 청원할 수 있는 절차가 있는지 궁금했음
    그들은 어떤 기준으로 사건을 선택하는지 알고 싶음
    • 실제로는 FSF가 아니라 SFC(Software Freedom Conservancy) 가 담당함
      dominant theory는 GPL을 저작권자만 집행할 수 있다는 것임
      SFC는 Vizio 소송을 통해 최종 사용자도 GPL을 집행할 수 있는 제3자 수혜자로 인정받으려 함
      FSF는 GNU 프로젝트처럼 저작권을 위임받은 경우에만 개입 가능함
      GNU 관련 위반은 license-violation@gnu.org로 신고 가능함
      SFC는 OpenWrt, Git, QEMU 등 여러 프로젝트의 법적 대표이기도 함
      신고는 SFC의 안내 페이지를 참고하면 됨
      다만 SFC는 리소스가 한정되어 있어 의료기기처럼 사회적 영향이 큰 사례를 우선적으로 다룸
      특히 Karen Sandler(심장 제세동기 사용자)와 Bradley Kühn(혈당 모니터 사용자) 같은 인물들이 있어 의료기기 문제에 관심이 많음
답변달기