Bambu Lab이 오픈소스 사회적 계약을 악용하고 있음

• Jeff Geerling은 Bambu Lab이 항상 연결되는 클라우드를 기본값으로 밀자 P1S의 인터넷을 차단하고 OrcaSlicer로 전환함
• OrcaSlicer는 Bambu Studio, Prusa Slicer, slic3r로 이어지는 AGPLv3 계보의 포크이며, Bambu 클라우드 없는 사용을 가능하게 해줌
• Bambu Lab은 OrcaSlicer-bambulab 포크가 공식 클라이언트를 사칭한다고 문제 삼고 개발자에게 법적 조치를 위협함
• Geerling은 해당 포크가 Bambu의 Linux 앱과 같은 AGPL 코드를 썼을 뿐이며, 사용자 에이전트를 보안 핵심으로 보는 태도를 비판함
• Bambu Lab은 과거 자체 포크가 Prusa 서버로 텔레메트리를 보낸 일이 있어, 다른 포크의 식별 방식을 문제 삼는 상황이 아이러니해짐

Bambu Lab 프린터를 계속 쓰기 위한 통제권 확보

• Jeff Geerling은 Bambu Lab이 항상 연결되는 클라우드 솔루션을 새 기본값으로 밀기 시작한 뒤에도 P1S를 계속 사용하고 있음
• 프린터를 자신의 통제 아래 두기 위해 OPNsense Firewall로 인터넷 접속을 차단하고, 펌웨어 업데이트를 중단했으며, Developer mode로 고정하고, Bambu Studio를 삭제한 뒤 OrcaSlicer를 사용함
• Bambu Lab이 기존 사용 방식을 그대로 허용했다면 갈등이 커지지 않았겠지만, 이후 대응은 오픈소스 생태계와 사용자 통제권 문제로 번짐

OrcaSlicer와 Bambu Studio의 오픈소스 계보

• OrcaSlicer는 오픈소스 프로젝트 Bambu Studio의 포크이며, Bambu Studio는 Prusa Slicer의 포크이고, Prusa Slicer는 slic3r의 포크임
• 이 프로젝트들은 모두 AGPLv3 오픈소스 라이선스를 사용함
• OrcaSlicer는 Bambu의 기본 구성에서 인쇄 파일이 Bambu 서버를 거치는 구조를 우회하거나 다뤄야 하는 위치에 있음
• Developer mode를 쓰고 오래된 펌웨어에서 인터넷을 완전히 차단하면 Bambu 클라우드를 거치지 않는 사용이 가능함
• 일부 사용자는 외부에서 집 프린터에 인쇄를 시작하는 클라우드 인쇄 편의성을 받아들이지만, 자체 WireGuard VPN을 운용하면 같은 원격 접근을 Bambu 클라우드 없이 처리할 수 있음

OrcaSlicer-bambulab 포크를 둘러싼 충돌

• Bambu Lab은 Bambu 클라우드 전달 메커니즘 없이 프린터 기능을 사용할 수 있게 한 OrcaSlicer-bambulab 포크를 문제 삼음
• 해당 포크는 Bambu Studio의 AGPL 라이선스 Linux 코드와 같은 방식으로, 클라우드 전달 메커니즘 없이 OrcaSlicer를 쓰려는 소수 고급 사용자를 위한 것이었음
• Bambu Lab은 포크 개발자에게 법적 조치를 위협했으며, 포크가 업스트림 Bambu Studio 코드를 사용했음에도 사칭 공격이라는 취지로 문제를 제기함
• OrcaSlicer-bambulab 개발자 답변에 따르면 Bambu Lab은 공개 주장 전에 구체적 내용을 먼저 전달하지 않았고, 전체 서신 공개 요청도 거부함
• 개발자는 자신이 보안 우회, 클라이언트 사칭, 인프라 위험을 만든 사람처럼 공개적으로 규정되는 상황을 거부함

Bambu Lab의 공개 입장과 반박

• Bambu Lab은 공식 블로그 글에서 문제의 수정이 네트워크 통신에 허위 신원 메타데이터를 주입해 공식 Bambu Studio 클라이언트인 것처럼 서버와 통신했다고 주장함
• Bambu Lab은 이 방식이 널리 채택되거나 잘못 구성되면 수천 개 클라이언트가 공식 클라이언트를 사칭하며 서버를 동시에 때릴 수 있고, 요청이 동일하게 보이기 때문에 시스템이 트래픽을 구분할 수 없다고 밝힘
• Geerling은 이 주장이 개발자를 Bambu 앱을 사칭하려 한 사람처럼 만들지만, 실제로는 Bambu의 Linux 앱이 쓰는 같은 AGPL 라이선스 코드를 사용한 것이라고 반박함
• 공개 사용자 에이전트 문자열이 DDoS 방어의 핵심 보호 장치라면 Bambu Lab의 보안 이해 자체가 의심스럽다는 비판으로 이어짐
• Bambu Lab은 블로그 글 나머지에서 취약점, 버그, 불안정성을 다뤘지만, 업스트림 코드를 그대로 쓴 포크 개발자 문제와 직접 연결되기는 어려움

반복되는 커뮤니티 대응 방식

• Bambu Lab은 전년도 긴장이 커졌을 때도 Bambu Connect와 서드파티 통합 관련 블로그 글에서 커뮤니티 반발을 “불행한 잘못된 정보” 탓으로 돌린 바 있음
• 당시 사용자는 구매 후 소프트웨어 생태계와 소유 모델이 뒤집힌 데 좌절했고, 그 결과 추측과 반발이 커졌다고 볼 수 있음
• 이번에는 Bambu Lab이 작은 슬라이서 포크의 한 개발자를 전체 클라우드 인프라의 잠재적 영향과 연결해 책임을 묻는 구조가 됨
• Geerling은 Bambu Lab이 생태계 문제 해결과 더 안전한 플랫폼 구축 대신, 해당 포크 개발자 같은 열성 고급 사용자를 공개적으로 압박한다고 비판함

아이러니와 과거 사례

• Bambu Lab 자체 포크가 2022년에 Bambu 사용자 텔레메트리를 Prusa 서버로 보내게 만든 일이 있었고, Josef Prusa는 이를 X에서 언급함
• Geerling이 알기로는 Prusa가 그 일에 대해 중지명령(C&D)으로 대응하지 않았음
• 이 사례 때문에 Bambu Lab이 다른 포크 개발자의 네트워크 식별 방식과 인프라 위험을 강하게 문제 삼는 상황이 더 아이러니해짐

가능한 더 나은 대응과 남은 선택지

• Bambu Lab은 처음부터 전체 생태계를 잠그지 않는 접근을 택할 수 있었음
• 문제의 포크는 Bambu Lab의 중지명령 이전에는 매우 작은 사용자층 외에는 많이 쓰이지 않았던 것으로 보임
• 다만 포크 이름에 “bambulabs”가 들어간 부분은 상표 관련 요청으로 제거를 요구할 수 있는 합리적 여지가 있음
• 포크 개발자는 이전에 Bambu Lab의 GitHub를 포함해 Bambu Studio 사용자의 Linux와 Wayland 문제를 도운 적이 있으며, 지금은 Bambu 인프라에 위험한 사람처럼 공개적으로 비치는 처지가 됨
• Louis Rossmann은 오픈소스 개발자가 Bambu의 법적 위협에 맞설 수 있도록 $10,000를 내겠다고 밝힌 영상을 올렸지만, 이는 개발자가 다시 Bambu의 표적이 되기를 원할 때만 유용함
• Geerling은 Bambu 제품을 아예 건너뛰고 다른 회사 프린터에 조금 더 지출하는 선택이 더 효과적일 수 있다고 봄