SFC, 밤부랩 AGPL 위반에 정면 대응…역공학 프로젝트까지 띄웠다

• Software Freedom Conservancy(SFC)가 Bambu Lab을 상대로 꽤 강한 카드를 꺼냈음. 단순히 “라이선스 지켜라”가 아니라, 역공학 프로젝트와 대체 포크까지 공개적으로 밀겠다는 입장임

  • 대상은 Bambu Lab의 3D 프린터용 소프트웨어와 펌웨어
  • SFC는 AGPLv3 준수 여부를 조사 중이고, 현재 2건의 구체적 위반을 확인했다고 밝힘
  • 핵심 키워드는 오픈소스 라이선스, 소프트웨어 수리권, 그리고 3D 프린터 생태계 잠금임

• 첫 번째 쟁점은 Bambu Studio가 완전한 대응 소스 코드(CCS)를 제공하지 않았다는 것임

  • Bambu Studio는 3D 모델 파일(STL)을 여러 수평 레이어로 쪼개 프린터에 전달하는 Slicer 소프트웨어임
  • Bambu는 이 소프트웨어가 AGPLv3 라이선스인 PrusaSlicer를 수정한 것이라고 공개적으로 말해왔음
  • PrusaSlicer 역시 원래 Slic3r에서 파생된 프로젝트임

• SFC가 문제 삼는 구체적 대상은 libbambu_networking.so, bambu_networking.dll, libbambu_networking.dylib 같은 네트워킹 라이브러리임

  • Bambu Studio 일부 소스는 GitHub에 있지만, 이 라이브러리는 독점 라이브러리로 남아 있다는 주장임
  • SFC는 AGPLv3 소프트웨어와 긴밀하게 결합된 오브젝트 코드라면 해당 라이브러리의 Corresponding Source와 설치 정보도 제공해야 한다고 봄
  • 즉 “앱 본체 일부만 공개했으니 됐다”가 아니라, 실행·수정·설치에 필요한 전체 조각을 내놔야 한다는 논리임

• 두 번째 쟁점은 개발자 Paweł Jarczak에게 가해진 삭제 압박임

  • Paweł은 Bambu Studio의 불완전한 공개 소스를 살펴보고, Orca Slicer를 수정해 Bambu 서버 쪽 구성요소와 연동하는 방식을 만들었음
  • 이 방식은 동적 링크 라이브러리를 교체하거나 직접 수정하는 접근이 아니었다고 SFC는 설명함
  • 그런데 Bambu가 해당 Orca Slicer 포크를 GitHub에서 내리라고 요구했다는 것임

• SFC는 이 행동이 AGPLv3 10조 3항 위반이라고 봄

  • 해당 조항은 라이선스가 부여한 권리 행사에 추가 제한을 걸 수 없다고 말함
  • Bambu는 약관이 AGPLv3보다 우선한다는 식의 주장을 했다고 SFC는 비판함
  • Paweł은 항의하면서도 포크를 내렸고, SFC는 강한 회사가 공격적인 이메일을 보내면 개인 개발자가 위축되는 건 당연하다고 봄

• 그래서 SFC가 시작한 프로젝트 이름이 baltobu임. 여기엔 세 갈래 기술 작업이 들어감

  • reverse-networking 저장소는 Bambu의 비공개 네트워킹 라이브러리를 역공학해 드롭인 대체 소스를 만드는 프로젝트임
  • orca-slicer-for-bambu 저장소는 Paweł의 작업을 이어받아 Bambu 3D 프린터와 동작하는 Orca Slicer 포크를 유지하는 프로젝트임
  • viscose 저장소는 Bambu Studio 자체의 활성 포크를 유지하며, 앞선 두 프로젝트에서 나온 결과를 반영하는 방향임

sequenceDiagram
    participant 밤부 as Bambu Lab
    participant 스튜디오 as Bambu Studio
    participant 개발자 as Paweł Jarczak
    participant 보수단체 as SFC
    participant 프로젝트 as baltobu 프로젝트
    밤부->>스튜디오: AGPLv3 기반 Slicer 배포
    스튜디오->>개발자: 불완전한 소스와 비공개 구성요소 노출
    개발자->>밤부: Orca Slicer 연동 포크 공개
    밤부->>개발자: 포크 삭제 요구
    개발자->>보수단체: 위반 정황 제공
    보수단체->>프로젝트: 역공학·포크 유지·감시 활동 시작

• SFC가 역공학을 먼저 꺼낸 이유도 흥미로움. 법적 절차보다 사용자에게 실제 도움이 되는 결과가 더 빨리 나올 수 있다고 본 것임

  • SFC는 Bambu가 오래 AGPLv3를 위반해왔고 공개 발언도 부정확했다고 주장함
  • 그래서 비공개 라이브러리를 분석해 호환 구현을 만드는 게 단기적으로 더 효과적일 수 있다고 판단함
  • 자원봉사자가 SFC를 대신해 기여하면 일정 수준의 개인 책임 보호도 기대할 수 있다고 안내함

• 장기전도 준비 중임

  • SFC는 Bambu Lab의 추가 카피레프트 위반 가능성을 계속 감시하겠다고 밝힘
  • 2026년 6월에는 3D 프린터 커뮤니티의 소프트웨어 자유와 수리권을 논의하는 상설 위원회도 만들 예정임
  • 이 위원회에는 3D 프린터 제조사, 사용자, 소비자, 카피레프트 라이선스 전문가, 소프트웨어 자유 활동가가 참여하는 구상을 내놨음

• 돈도 꽤 구체적으로 걸었음. SFC는 2개월 동안 250,007달러 모금을 시작함

  • 목표를 달성하면 자원봉사자 조율, 장기 전략, Bambu가 계속 AGPLv3를 지키지 않을 경우의 다음 단계까지 맡을 전담 직원을 찾겠다고 함
  • 목표에 못 미치면 기존 직원의 시간을 이 프로젝트에 배정하고 관련 소프트웨어 수리권 활동에 쓰겠다고 밝힘
  • 단순 성명문이 아니라 조직적 캠페인으로 끌고 가겠다는 신호임

• 개발자 입장에서 이 사건이 중요한 이유는 라이선스가 제품 아키텍처와 바로 맞물리기 때문임

  • 데스크톱 앱, 동적 라이브러리, 서버 구성요소, 펌웨어, 클라우드 기능이 섞이면 “어디까지 소스를 공개해야 하냐”가 복잡해짐
  • 하지만 AGPLv3 같은 강한 카피레프트 라이선스를 기반으로 제품을 만들었다면, 독점 모듈을 끼워 넣는 설계가 법적·커뮤니티 리스크가 될 수 있음
  • 특히 하드웨어를 팔면서 소프트웨어로 생태계를 잠그는 모델은 수리권 이슈와 바로 충돌함

기술 맥락

• 이번 사건의 기술적 선택은 Bambu Studio가 AGPLv3 계열 Slicer를 기반으로 하면서 네트워킹 기능을 별도 비공개 라이브러리로 둔 구조예요. 왜 문제가 되냐면, SFC는 이 라이브러리가 앱과 긴밀히 통신하고 실행에 필요하므로 Corresponding Source 범위에 들어간다고 보기 때문이에요.

• Corresponding Source는 “대충 핵심 소스만 공개”가 아니에요. 사용자가 실행 파일을 만들고 설치하고 수정할 수 있어야 하므로, 빌드 스크립트나 인터페이스 정의, 긴밀히 연결된 공유 라이브러리 소스까지 포함될 수 있거든요. 그래서 동적 링크로 뺐다고 의무가 자동으로 사라지는 구조가 아니에요.

• SFC가 역공학 프로젝트를 먼저 띄운 것도 현실적인 이유가 있어요. 법적 대응은 오래 걸릴 수 있지만, 비공개 라이브러리의 동작을 분석해 드롭인 대체 구현을 만들면 사용자는 더 빨리 자유 소프트웨어 기반 워크플로를 되찾을 수 있어요.

• 이 사건은 3D 프린터에만 갇힌 얘기가 아니에요. 하드웨어, 데스크톱 앱, 서버 API, 펌웨어를 묶어 제품을 만드는 팀이라면 라이선스 경계를 아키텍처 설계 단계에서 봐야 해요. 나중에 공개 범위를 줄이려고 구조를 바꾸면 기술 부채가 아니라 법적 리스크가 될 수 있어요.