BambuStudio는 포크 이후 PrusaSlicer AGPL 라이선스를 위반해 왔다

 (twitter.com/josefprusa)
1P by GN⁺ 3시간전 | ★ favorite | 댓글 1개
  • BambuStudio는 AGPL-3.0 기반 PrusaSlicer 포크로, 슬라이서 코드는 공개했지만 클라우드 통신용 네트워크 플러그인은 닫힌 바이너리로 남겼다는 의혹을 받음
  • 닫힌 플러그인은 핵심 기능에 필요하고 BambuStudio 없이는 의미 있게 작동하지 않아, 파일 분리만으로 파생 저작물 의무를 피하기 어렵다는 쟁점이 있음
  • 네트워크 바이너리 블롭은 번들되지 않고 런타임 다운로드되며, 공개 소스 감사만으로 실제 클라우드 통신 부분을 검토하기 어렵게 만듦
  • Prusa 측은 법적 조치를 검토했지만 소프트웨어라 통관 차단이 어렵고, 중국 관할에서 중국 회사에 집행해야 하는 현실적 장벽이 있었다고 밝힘
  • 중국의 정보·암호·데이터·취약점 관련 법제와 3D 프린팅의 산업 데이터 특성이 결합되며, 중국 제조사 네트워크 기능 전반의 위험으로 확장됨

BambuStudio의 AGPL 위반 쟁점

  • PrusaSlicer와 BambuStudio의 관계

    • PrusaSlicer는 AGPL-3.0 라이선스를 적용한 Slic3r의 포크이며, 현재 코드베이스의 90% 이상이 Prusa 측에서 작성됐지만 Slic3r 계보를 유지함
    • BambuStudio는 PrusaSlicer의 포크로, 슬라이서 부분은 공개했지만 클라우드와 통신하는 네트워크 플러그인은 닫힌 바이너리로 남겼다는 의혹이 핵심임
    • AGPL-3.0은 포크와 상업적 배포를 허용하지만, 파생 저작물도 오픈소스로 유지해야 하는 강한 카피레프트 라이선스임

  • 닫힌 네트워크 플러그인이 문제인 이유

    • 플러그인이 별도 저작물이므로 카피레프트 대상이 아니라는 방어 논리가 가능하지만, BambuStudio는 플러그인 없이는 핵심 기능을 수행할 수 없고 플러그인도 BambuStudio 없이는 의미 있게 작동하지 않는다는 반박이 있음
    • 두 구성요소가 우연히 통신하는 별개 제품이 아니라 하나의 제품을 두 파일로 나눈 구조라면 AGPL 의무를 피하기 어려워짐
    • 함수 호출 경계 너머로 코드를 옮기고 별도 저작물이라고 부르는 방식만으로 카피레프트 의무가 사라지지는 않음
    • OrcaSlicer는 BambuStudio를 포크하면서 같은 라이선스를 상속했고, 라이선스 규칙을 따른 사례로 남음

  • 런타임 다운로드와 감사 한계

    • 네트워크 바이너리 블롭은 BambuStudio 내부에 번들되지 않고 런타임에 다운로드되는 구조로 지목됨
    • 공개된 BambuStudio 소스코드를 감사하더라도 실제로 클라우드와 통신하는 부분은 의미 있게 검토하기 어려움
    • 해당 바이너리는 공개된 소프트웨어 공급망 밖에 있고, 사용자가 통제하지 않는 CDN에서 도착하며, 실행할 때마다 Bambu 외부의 사전 검토 없이 교체될 수 있음
    • Josef Prusa는 이 구조를 2023년 3월 공개적으로 문제 삼았고, 같은 구조가 현재도 유지된다고 봄: x.com/josefprusa/status/1634250522843553797

  • 법적 집행의 현실적 한계

    • Prusa 측은 당시 법적 조치를 진지하게 검토했지만, PrusaSlicer는 하드웨어가 아닌 소프트웨어라 통관에서 막을 박스 제품이 없었다고 밝힘
    • 라이선스 사용자의 관할이 중국에 있어, 중국 법원이 중국 회사에 중국법을 적용하는 사건이 될 가능성이 현실적 장벽으로 작용함
    • 집행 경로가 없는 라이선스는 실무적으로 권고에 가까워지고, Bambu는 결과적으로 네트워크 바이너리 블롭을 계속 유지함
    • 현재 작은 블랙박스를 열려는 소규모 개발자에게 법적 위협이 이어지는 상황과도 연결됨

  • 초기 발견 경위

    • PrusaSlicer 2.4는 선택형 익명 텔레메트리를 도입했고, 출시 직후 데이터베이스에 “BambuSlicer”로 표시된 항목이 나타남
    • BambuStudio를 아직 알지 못하던 시점에 Bambu 내부 빌드가 실수로 Prusa 서버에 텔레메트리를 보내도록 설정돼, Prusa 측이 포크 존재를 알게 됨
    • 공개 출시 이후 커뮤니티는 AGPL 라이선스 준수를 위해 BambuLab에 BambuStudio 소스 공개를 요구함: x.com/Bryan_Vines/status/1542530102419939332
    • Prusa 측은 처음부터 이 소프트웨어의 출처와 계보를 알고 있었다고 밝힘: x.com/josefprusa/status/1542259514828791811

중국 법제와 3D 프린팅 데이터 위험

  • 다섯 가지 법·규정이 만드는 환경

    • Josef Prusa는 BambuStudio의 네트워크 바이너리 문제를 중국 기업의 광범위한 법적 환경과 연결하며, 2017~2023년 사이 만들어진 다섯 가지 법·규정을 함께 봐야 한다고 봄
    • 국가정보법(2017) 은 모든 조직과 시민에게 정보 활동을 “지원, 협조, 협력”하도록 요구하고, 그런 협력이 있었다는 사실 공개도 금지함
    • 암호법(2020) 은 상업용 암호화를 국가 승인과 심사 대상으로 두며, 당국 요청 시 기업이 복호화 키나 평문을 제공해야 한다는 논리로 이어짐
    • 데이터보안법(2021) 제2조는 중국 국가안보나 공공이익과 관련된 데이터에 역외 적용 범위를 두며, 서버가 EU나 미국에 있어도 관할은 회사에 따라간다는 해석이 나옴
    • 반간첩법 개정(2023) 은 간첩 행위의 일반 정의를 국가안보와 이익 관련 “문서, 데이터, 자료, 물품”까지 넓혔고, 산업 데이터도 대상에 들어갈 수 있음
    • 네트워크 제품 보안 취약점 규정(2021) 은 소프트웨어 취약점을 발견한 기업이나 연구자가 48시간 안에 MIIT에 보고하도록 요구하며, 이후 정보가 국가안전부 제13국이 운영하는 CNNVD로 흘러간다고 제시됨

  • 3D 프린팅이 민감한 이유

    • 다섯 법·규정을 함께 보면 협력은 의무이고, 암호화는 존재하지만 예비 키는 부처에 있으며, 관할은 국경을 넘어 회사에 따라가는 구조가 됨
    • 3D 프린팅은 2020년에 중국의 전략 분야가 됐고, 이후 Made in China 2025 계획에 들어갔다고 제시됨
    • 3D 프린터는 R&D 부서, 프로토타입 제작실, 방산 공급업체, 대학 연구실, 하드웨어 스타트업처럼 새 지식재산이 만들어지는 장소에 놓인다는 점에서 민감함
    • 슬라이서는 사용자의 컴퓨터에서 사용자가 가진 데이터와 접근 권한을 공유하므로, 발명되는 대상 바로 옆에 있는 기계와 같은 데이터 흐름에 놓임
    • Josef Prusa는 Bambu 내부에서 무슨 일이 일어나는지 안다고 단정하지 않지만, 같은 문제의식은 3D 프린팅뿐 아니라 카메라, 자동차, 코딩 도구 안에서 데이터를 수집하는 무료 AI 모델 등 중국 제조사 전반에도 적용된다고 봄

함께 보면 좋은 글 β

GN⁺ 3시간전  [-]
Hacker News 의견들

  • 5월 13일 글의 원문 게시자인가? 중복 게시물로 보임
    https://news.ycombinator.com/item?id=48109224
    https://news.ycombinator.com/item?id=48175820
    https://news.ycombinator.com/item?id=48115127

  • Josef가 지식재산권 위험을 말한 데에는 크게 동의하지만, 중국 기업만 문제인 것처럼 보는 건 이상함
    중국 정부가 자국 기업의 보유 정보를 여러 명분으로 가져갈 수 있는 법과 장치가 있는 건 맞지만, 미국도 Cloud Act 덕분에 자국 대형 사업자에게 영토 밖 서버의 데이터까지 요구할 수 있음
    유럽 기업의 80% 이상이 Amazon, Microsoft, Google 중 하나에 가장 민감한 업무 데이터를 맡기는 상황에서, 이미 새고 있을 수 있는 데이터와 무엇이 다른지 모르겠음
    AI, 휴대폰, 결제 시스템도 마찬가지고, 지식재산권 보호라기보다 적을 하나 정해놓고 나머지는 괜찮은 척하는 것처럼 느껴짐. Prusa Research 소유자가 주 경쟁사를 두고 쓴 글이라는 점도 그 예시처럼 보임

    • Prusa도 지금 Bambu 방식과 크게 멀리 떨어져 있지 않아서 답답함
      Prusa-Link는 기본 작업 제어만 가능하고 장비 제어와 원격 측정은 거의 없으며, 주요 기능은 PrusaConnect 클라우드 뒤에 있음
      Prusa는 수년간 출력 농장이 오프라인으로 운영되도록 오픈소스화하겠다고 약속했지만, 이제는 유료 요금제까지 추가했음
      Prusa 프린터를 좋아하고 내 장비도 모두 Prusa지만, 소프트웨어 상태를 정리해야 함. 지금 형태로는 Bambu의 운영 현실과 구분하기 어렵고, XL의 모든 기능을 쓰려면 파일을 먼저 체코로 보내야 함
    • “나머지는 괜찮은 척한다”는 건 맞지 않음
      법 위반이나 사용자·기업의 개인정보 침해가 보일 때마다 문제 삼는 건 합리적이고, 각자 자신이 활동하는 분야에서 문제를 가장 잘 발견할 수 있음
    • Cloud Act 때문에 미국 클라우드 업체들이 고객을 대거 잃고 있음

  • 내 프린터는 사업용 시제품을 만드는 데 쓰기 때문에, 인터넷으로 보내서 누군가 들여다보게 할 생각은 전혀 없음
    다음 프린터는 대부분 3D 프린트 부품으로 만들고, 모터 컨트롤러나 금속 튜브, 기성품 베드 레벨링 시스템, 오픈소스 소프트웨어 같은 범용 부품을 섞을 것 같음
    업무에는 단색 출력만 필요하고, 내가 알기로 지구상에서 가장 빠른 프린터도 대부분 3D 프린트 부품으로 되어 있으니 그걸 기반으로 내 필요에 맞게 고치면 됨
    Bambu도 고려했지만, 내가 소유한 제품을 통제하지 못하게 되는 길로 들어선 뒤로는 제외했음. 그런 방향의 회사에는 돈을 쓰지 않음

    • “인터넷으로 보내서 누군가 들여다보게 할 생각은 없다”는 식으로 이 싸움이 해석되는 게 좀 웃김
      이 논쟁은 사용자가 원했기 때문에 누군가 OrcaSlicer에 Bambu Cloud 지원을 다시 넣으면서 시작됐음
      Louis Rossmann 포크 README의 첫 세 줄도 “Bambu Lab 프린터용 BambuNetwork 전체 지원 복원”, “LAN 전용으로 제한되지 않음”, “이전처럼 BambuNetwork를 통해 인터넷으로 정상 사용과 출력이 가능함”이라고 되어 있음
      그런데 HN 댓글만 읽으면 Bambu가 모두에게 클라우드 서비스를 강제로 쓰게 하려는 싸움처럼 보일 수 있음
    • 직접 설계하거나 만들 수도 있지만 꼭 그럴 필요는 없음
      세상에는 새로 살 수 있는 오프라인 3D 프린터가 아주 많고, 연결 없는 동작이 목표라면 그런 프린터를 찾는 건 간단함
      상당수는 Orca Slicer 같은 도구가 만든 일반 gcode를 SD 카드나 USB로 받아들이며, 내장 네트워킹 기능 자체가 없음
      오픈소스 펌웨어도 목표라면, 기본 컨트롤러 보드에 직접 빌드한 Marlin이나 Klipper를 올릴 수 있는지 먼저 조사하면 됨
      오픈 펌웨어 실행 가능 여부는 드문 편이 아니라 꽤 흔함
      원하는 가격, 성능, 커뮤니티, 지원 조건으로 좁혀 고른 뒤 장비를 조립하고 Marlin이나 Klipper를 빌드하면 됨. 3D 프린팅 커뮤니티가 이 과정 전반을 도와줄 가능성도 큼
    • 찾는 건 Voron에 가까움
      Bambu가 “영감”을 받은 프린터들이고, 전부 기성 부품으로 만들 수 있음
      Voron 2.4를 만드는 과정이 꽤 재미있었고, 배선이 미리 하네스로 구성된 키트를 사니 훨씬 쉬웠음
    • 중국산이긴 해도 집으로 전화하지 않는 선택지는 있음
      Qidi Q2를 쓰는데 훌륭한 프린터이고, Klipper+Fluid 기반 오픈 펌웨어를 돌리며, 닫힌 하드웨어의 Voron 또는 열린 소프트웨어의 X1C에 가까움
      Flashforge 프린터도 다중 노즐 출력으로 요즘 인기인데, 꽤 열린 편이라고 들었음
    • Bambu에서 자체 출력 3D 프린터로 가는 건 같은 범주의 장비라고 보기도 어려움
      Bambu는 그냥 꽂고 쓰면 작동하는 장치를 만드는 데 집중해 왔음

  • BambuLab이나 중국 정부가 그 데이터를 실제로 어떻게 채굴할 수 있을지 궁금함
    3D 모델은 예술적 모델과 실용적 모델이라는 두 범주 사이의 연속선에 있다고 보는데, 예술 쪽이라면 서구권 미니어처가 산더미처럼 쌓일 뿐일 수 있음
    실용 쪽도 무엇에 쓰는지 알 수 없는 임의 부품이 잔뜩 생길 가능성이 큼
    물론 서서히 끓는 물에 개구리를 넣듯 다음 단계로, 출력 전에 모델에 메타데이터를 붙이라고 요구할 수도 있음

    • 기업들이 시제품 제작에 3D 프린팅을 얼마나 많이 쓰는지 과소평가하는 것 같음
      미니어처를 출력하는 취미 사용자만 있는 게 아님
      예를 들어 RSI 때문에 고급 인체공학 키보드를 쓰는데, 이런 키보드 회사는 설계 아이디어에서 바로 비싼 금형으로 가지 않음
      많은 설계 반복과 시제품이 있고, 모두 3D 프린트됨
      가습기, 드론, 그 밖의 어떤 제품에도 비슷할 가능성이 큼
      모두의 STL에 접근할 수 있다면 모든 설계 시제품과 최종 제품에 가까운 데이터에 접근하는 셈임
      회사들이 Prusa 프린터 팜에 돈을 더 쓰기 싫어서 자발적으로 데이터를 넘기는 산업 스파이 같은 구조임
      단기 절감을 장기 전략보다 선호하는 성향을 이용하는 중국 정부의 영리한 수로 보이고, 중국산 피트니스 워치를 싸다는 이유로 사는 일까지 같은 패턴이 반복됨
    • 중국 기업이 하는 모든 일이 사악한 목적이나 중국 정부의 숨은 의제 때문은 아님
      현실은 더 평범해서, 많은 중국 기업은 오픈소스 기대치를 잘 이해하지 못함
      중국에는 정확히 대응되는 문화가 별로 없고, 가장 가까운 사고방식은 쓸 수 있게 공개된 것은 가져다 써도 된다는 쪽임
      저작권 개념이 아예 없는 건 아니지만 기본 문화 개념으로 강하지 않고, 소유권을 크게 신경 쓰지 않으며 법적 강제를 느슨하게 한 것이 중국의 빠른 혁신을 가능하게 한 측면도 있음
      중국 정부는 수십 년 동안 중국에 진출하는 외국 기업에 현지 파트너 51% 이상과 기술 이전을 사실상 의무화했음
      그래서 오픈소스 라이선스의 세부 규칙이 잘 전달되지 않고, 혜택은 이해해도 그 혜택에 따르는 의무는 잘 모를 수 있음
      BambuLab의 경우 자기 플랫폼을 통제하고 싶을 뿐일 가능성이 크고, 오픈소스 권리와 기대를 잘못 이해했기 때문에 반응에 당황했을 것 같음
      서구 관점에서는 악의적으로 보이지만 반드시 악성이라고 보긴 어렵고, 일종의 문화적 임피던스 불일치에 가까움
      예전에 Naomi Wu가 Shenzhen의 다른 3D 프린터 제조사들을 찾아다니며 GPL 소프트웨어를 쓰면서 수정본을 공개하지 않는 문제로 싸웠던 일이 떠오름. 이런 라이선스가 주는 의무와 이점을 이해시키는 데 꽤 애를 먹었음
    • 최근 Bambu 관련 스레드마다 이 싸움이 로컬 접근권을 되찾기 위한 것처럼 가정되지만, 실제 시작은 OrcaSlicer에 Bambu Network 클라우드 접근을 되살리려는 일이었음
      Louis Rossmann의 FULU 포크 첫 세 줄도 Bambu Lab 프린터용 BambuNetwork 전체 지원을 복원하고, LAN 전용 제한이 아니며, 예전처럼 인터넷을 통해 정상 기능과 출력을 지원한다고 되어 있음
      Bambu 프린터가 없는 많은 사람이 사용자가 Bambu 클라우드 서버를 쓰지 않기 위해 싸우는 것으로 반대로 이해해서 댓글 흐름이 혼란스러움
      중국 정부가 출력되는 장신구를 전부 긁어모으는 데 관심이 있는 건 아니고, 민감한 용도로 Bambu 프린터를 쓰는 사람은 이미 LAN 모드나 SD 카드 출력을 쓰고 있었음
      이 싸움을 밀던 사용자들은 편의 때문에 다시 클라우드로 출력물을 보내고 싶어 했음
    • 실제로 통찰을 뽑으려 한다면, 자동 분석으로 산업 추세를 볼 수는 있음
      초기에 사람들이 실수로 클라우드 기능을 켜둔 것만 있어도 일부가 새어나갈 수 있고, 공개 전에 제품 범주를 알게 될 수 있음
      국방·항공우주는 가능성이 낮지만, 사람들이 이상한 위치에서 Strava를 쓰고 War Thunder에 기밀 국방 정보를 올리는 일을 보면 누군가 뭔가를 흘려도 놀랍지 않음
      중국 어딘가에 이런 자동 분석이 구축돼 있어도 이상하지 않음
    • 이건 우리 회사와 나에게 실제 문제임
      중국의 관심과 활동이 강한 영역에서 화학기상증착 시제품 시스템을 만들고 있음
      Bambu를 쓰면 중요한 독점 지식재산을 잃을 가능성이 있어서 Prusa 3D 장비를 골랐고, 그런 위험은 감수할 수 없음

  • X에 직접 링크하지 않고 xcancel 링크를 올려줘서 좋음
    xcancel이 있다는 걸 잊고 있었는데, 이제 가끔 써볼 것 같음

    • xcancel 링크가 x.com으로 다시 바뀌는 일이 더 자주 보임
      xcancel도 xitter, nitter, 그 이전 서비스들처럼 오래가지 못할 가능성이 있어서 그런 듯함
      아카이브 서비스가 Twitter 콘텐츠 보존을 구현해 주면 좋겠음
    • HN에서는 꽤 널리 쓰이는 편으로 보임
    • xcancel이 아직 작동한다는 게 놀라움
      모든 nitter 서버가 내려간 줄 알았음
    • xcancel을 쓰면 어떤 이점이 있음?
    • https://github.com/johnste/finicky를 씀

  • 오픈소스 라이선스가 취약하다는 게 꽤 분명해졌음
    방어에는 큰돈이 들고, 위반 제품은 정의상 닫힌 소스라 위반을 입증하기도 어려움

    • Software Freedom Conservancy가 적어도 맞서 싸우고 있음
      https://sfconservancy.org/news/2026/may/18/bambu-studio-3d-p...
    • 집행까지 고려하면 중소형 프로젝트의 오픈소스는 죽은 셈임
      같은 언어나 다른 언어로 다시 구현한 뒤 그럴듯한 부인 가능성을 확보하는 게 너무 쉬움

  • 3D 프린팅은 아직도 열성 사용자와 기술 애호가가 이끄는 시장인데, Bambu가 그 시장을 소외시키는 방식은 놀라울 정도임
    Bambu 장비는 마음에 들고 품질과 가격도 훌륭하지만, 기능이나 속도 면에서 더는 우위가 없음
    Creality에서도 거의 같은 제품을 살 수 있다면, 왜 사용자에게 적대적인 Bambu 같은 회사를 고려해야 하는지 모르겠음

    • 새 3D 프린터를 사려고 하면서 Bambu 여러 모델을 강하게 고려하고 있었음
      이 논란을 자세히 알지는 못하지만, 다른 업체도 보게 만들고 있음
      이런 문제가 없었다면 이미 Bambu 프린터를 샀을 텐데, 지금은 경쟁 제품을 전부 조사 중임
    • Bambu의 해자는 소비자 사용성을 조금 더 고민했고, 광고에 엄청난 돈을 썼으며, CoreXY 프린터로 베드가 움직이는 방식보다 신뢰성이 좋았다는 데 대부분 있었음
      하지만 그건 해자가 되지 못함
      모두 따라잡았으니 Prusa를 사도 되고, Qidi, Snapmaker도 가능함
      Elegoo Centuri도 가격 대비 훌륭한 프린터임
      경쟁이 아주 많고, Bambu가 그들보다 더 제공하는 건 의심스러운 윤리와 나쁜 태도 정도임
    • 다른 저가 브랜드도 조정 없이 바로 Bambu만큼 잘 출력하나 궁금함
      오래된 Prusa MK3s에서 Bambu P1P+AMS로 옮긴 건 큰 업그레이드였고, 주로 속도, 안정적인 베드 접착, 쉬운 소재 교체 덕분에 출력 취미가 훨씬 재미있어졌음
      이제는 프린터 자체를 만지작거리기보다 출력할 물건을 설계하는 데 더 관심이 있음
      온라인 논란은 따라가고 있지만 아직 구매를 후회하지는 않음
      상업적으로 또는 대규모로 출력한다면 Bambu를 피하겠지만, 프린터 1~2대를 가진 취미 사용자에게는 아직 사용자 적대성이 현실적으로 크게 영향을 주지 않음
    • 누가 이런 식으로 버틸 수 있다면 Bambu일 것 같음
      3D 프린팅 시장의 Apple 같은 존재라서 대부분은 신경 쓰지 않고, 그냥 출력 버튼을 누른 뒤 잘 되길 바람

  • 집행 경로가 없다는 게 이해되지 않음
    Josef가 정말 AGPL 위반으로 BambuLab을 압박하고 싶다면 음악·영화 업계가 했던 것처럼 ISP 수준에서 차단하게 만들 수 있음
    중국 밖 모든 서버에 중지 명령을 보내고 ISP 수준에서 트래픽을 막으면 됨
    여러 해적 사이트와 달리 뒤쫓아야 할 복제 사이트가 수백 개 생기지도 않을 것임

  • DeepSeek이 가격 할인을 영구화하면서 중국이 데이터 접근권에 어느 정도 가치를 두는지 볼 수 있는 자료가 생겼음
    현재 오픈 가중치 모델을 제공하는 서구 업체들은 DeepSeek 자체보다 3배 이상 비쌈
    물론 중국 측 데이터 접근권만 가격에 반영된 건 아니겠지만, 그중 하나인 건 거의 확실하다고 봄

  • “플러그인은 별도 저작물이니 카피레프트 대상이 아니다”라는 표준 방어 논리가 실제 소프트웨어 앞에서는 무너진다는 주장에는 동의하기 어려움
    BS는 플러그인 없이 핵심 작업을 못 하고 플러그인은 BS 없이는 아무것도 못 한다고 하지만, 실제로는 LAN/dev 모드로 프린터에 연결해서 슬라이서에서 직접 출력할 수 있음
    더 복잡한 네트워크 구성에서 문제가 있는 듯하지만 그건 예외에 가까워 보임
    전반적인 우려는 타당하다고 보지만, 이것이 라이선스 위반이라는 점을 법적 관점에서 설득력 있게 보여주는 판례 같은 것은 아직 못 봤고, 그런 근거가 있다면 보고 싶음

답변달기