[기고] Greenbone(OpenVAS) 사건을 통해 본 오픈소스 거버넌스의 필요성과 기업 대응 전략

법무법인(유) 율촌 정상태 변호사

1. 들어가며

최근 독일 베를린 지방법원은 Greenbone 사건에서 오픈소스 라이선스 조건을 위반한 행위에 대해 저작권 침해를 인정하면서 관련 제품의 배포 금지 등을 명하였습니다. 

이처럼 오픈소스 라이선스 위반이 단순한 계약 위반을 넘어 저작권 침해 행위로 판단되는 경향은 각국 법원의 판례를 통해 확인되고 있고 이에 따라 라이선스 위반에 따른 금지 명령, 손해배상, 형사 책임의 위험성은 높아지고 있습니다. 

본고에서는 Greenbone 사건의 판결 요지를 바탕으로 오픈소스 라이선스 위반의 법적 성격 및 주요 쟁점과 대응 방안을 살펴보고자 합니다. 

2. Greenbone 가처분 사건 요지(LG Berlin, 20.06.2025 - 15 O 141/25)

위 가처분 사건의 채권자인 Greenbone AG는 오픈소스 보안 스캐너인 ‘OpenVAS’와 방대한 취약점 테스트 데이터 집합인 ‘Community Feed’를 개발하여 제공하는 업체입니다. 위 소프트웨어에는 Strong Copyleft 계열인 GPL-2.0 및 AGPL-3.0 라이선스가 적용되어 소스코드 공개 의무가 부여되었으며, 데이터베이스에는 ODbL-1.0 라이선스가 적용되어 있었습니다.

사건의 발단은 경쟁업체인 채무자가 Microsoft Azure 마켓플레이스에 자사의 보안 제품을 출시하면서 시작되었습니다. 채무자는 제품 구성 과정에서 Greenbone의 오픈소스 소프트웨어와 데이터베이스를 무단으로 결합하였는데 이 과정에서 오픈소스 라이선스의 핵심 의무인 라이선스 사본을 첨부하지 않았고 소스코드 제공도 하지 않았습니다. 특히 소스코드 내에 명시된 원저작권자의 저작권 고지 사항을 임의로 삭제하고 자사의 이름으로 치환하여 배포하였습니다. 

이에 대해 채권자는 2025. 5. 12. 독일 베를린 지방법원에 채무자를 상대로 저작권 침해 등을 이유로 가처분 신청을 하였고, 독일 법원은 채무자가 라이선스에서 규정한 의무 사항을 준수하지 않은 채 소프트웨어를 배포한 행위는 저작권 침해(독일 저작권법 UrhG 제87a조 등) 및 오픈소스 라이선스 계약 위반에 해당한다고 판시하였습니다.

특히 독일 법원은 오픈소스 라이선스 위반 시 라이선스가 즉시 종료된다고 판단하였습니다. 채무자가 GPL 2.0 및 AGPL 3.0의 핵심인 소스코드 공개 의무를 위반하고, ODbL 1.0이 요구하는 데이터베이스 출처 표기 등을 이행하지 않은 순간, 해당 소프트웨어와 데이터를 사용할 수 있는 계약상의 권리가 소멸되었다고 판단하였습니다.

이에 따라 법원은 ① 해당 소프트웨어에 대해 즉각적인 배포 금지 명령을 내렸고 ② 채무자가 이를 위반할 경우 위반 사례당 최대 250,000유로(한화 약3.7억 원)를 지급하라고 명령하였습니다. ③ 소송 비용도 채무자가 전액 부담하라고 판단하였습니다(독일 민사소송법 ZPO 제97조 제1항 제1문).

이번 결정은 오픈소스 라이선스 조건 위반이 실제 제품의 배포 금지로 이어질 수 있음을 법원이 인정했다는 점에서 중요한 의미가 있습니다.

3. GPL 등 오픈소스 라이선스 위반의 법적 성격 및 주요 쟁점

가. 법적 성격 : 오픈소스 라이선스 위반이 단순한 계약 위반인지 아니면 저작권법상 저작권 침해인지

(1) 오픈소스 라이선스 위반이 단순 계약 위반인지 저작권 침해인지 여부는 오랫 동안 법정에서 다툼의 대상이 되어 왔습니다. 양자의 구별의 실익은 법적 구제 수단, 손해배상의 입증과 범위, 형사 책임 여부 등에서 차이가 있기 때문입니다.

우선 구제 수단에서 계약 위반은 손해배상 청구 또는 계약의 이행청구만 가능한 반면, 저작권 침해 행위에 대하여는 저작권법상 손해배상과 함께 금지청구도 가능합니다(한국 저작권법 제123조 및 제125조, 미국 저작권법17 U.S.C. §502 및 §504). 

또한 손해배상의 입증 및 범위에서 차이가 있습니다. 단순 계약 위반의 경우 원고가 실제 발생한 구체적인 손해액을 증명해야 하는 반면, 저작권 침해의 경우 실제 손해액을 입증하여 청구할 수도 있고 손해액 입증이 어려운 경우 법정 손해배상 청구도 가능합니다(한국 저작권법 제125조의2, 미국 저작권법17 U.S.C. §504(c)). 한국 저작권법은 고의 침해의 경우 손해의5배까지 징벌적 손해배상 책임을 물을 수도 있습니다(한국 저작권법 제125조 제4항).

마지막으로 형사 책임 유무에 있어서도 단순 계약 위반은 민사적 문제에 그치지만, 저작권 침해는 형사 처벌의 대상(한국 저작권법 제136조, 미국 저작권법17 U.S.C. §506 및18 U.S.C. §2319)이 될 수 있습니다. 

(2) 이와 관련하여 각국 법원은 오픈소스 라이선스 위반을 단순 계약 위반이 아니라 저작권 침해 행위로 보는 법리를 형성해가고 있습니다. 

일례로 미국 항소법원은 Jacobsen v. Katzer(535 F.3d 1373) 사건에서 오픈소스 라이선스 위반을 단순한 계약 위반이 아닌 저작권 침해라고 판시하였습니다. 위 사건에서 피고는 오픈소스 소프트웨어인 'DecoderPro'의 소스코드를 사용하면서 저작자 명시를 누락하고 저작권 고지를 삭제하는 등 Artistic License의 조건을 위반하였는데 이에 대해 법원은 ① 오픈소스 라이선스를 사용하는 저작권자도 여전히 저작물의 수정 및 배포를 통제할 권리를 보유하고, ②Artistic License에 따라 저작권 표시와 수정 이력을 포함하지 않은 채 수정하거나 배포하는 행위는 허용된 범위를 벗어난 행위로서 저작권 침해에 해당하며, ③ 저작자 표시 및 수정시 공개의무를 부과하는 조건은 오픈소스 페이지로 트래픽을 유도하고, downstream 사용자에게 프로젝트 정보를 제공하며, 새로운 협업자를 유치하는 등 저작권자의 경제적·창작적 이익을 보호하기 위한 중요한 수단이라고 판시하였습니다. 

또한 미국 캘리포니아 북부 연방법원은 Artifex Software, Inc. v. Hancom, Inc.(2017 WL 1477373) 사건에서 한글과컴퓨터가 PDF 처리 엔진인 'Ghostscript'를 사용하며 GPL상 소스코드 공개 의무를 이행하지 않은 행위는 저작권 침해과 동시에 GPL 계약 위반이라고 판단하였고, 양 당사자는 위 판결 이후 약205만 달러에 합의하였습니다.

한국 대법원 2009. 2. 12. 선고 2006 도 8369 판결(엘림넷v. 하이온넷)은 개발자가 GPL 라이선스가 적용된 'VTun'을 개작한 'ETun'의 소스코드를 가지고 경쟁사로 이직하여 제품을 개발한 사례에서, 비록 작성자가 GPL에 따른 소스코드 공개 의무를 위반하여 원저작권자에게 손해배상 책임을 질 수 있을지언정, 원 프로그램을 개작하여 새로운 창작성이 인정되는 이상 그 개작 프로그램의 저작권은 작성자에게 있다고 보았습니다.

나. 주요 오픈소스 라이선스 계약이 부과하는 의무와 소송에서의 주요 쟁점

오픈소스 라이선스는 사용자에게 자유로운 이용 권한을 부여하는 대신, 배포 시 준수해야 할 몇 가지 핵심적인 의무를 부과합니다. Greenbone 사건에서 문제가 된 각 라이선스의 주요 의무 사항을 정리하면 아래 표와 같습니다.

오픈소스 라이선스 위반 소송의 주요 쟁점은 위에서 살펴본 라이선스 위반시 저작권 침해가 성립하는지 여부에 추가하여 ① 라이선스 위반에 따라 오픈소스 라이선스가 자동 종료되는지, ② 파생저작물(derivative works)의 범위, ③ 의무 사항의 이행 수준 등이 있습니다.

라이선스 조건 위반에 따라 라이선스가 자동으로 종료되는지는 라이선스 조항에 따라 다릅니다. GPL을 포함한 많은 오픈소스 라이선스는 사용자가 조건을 준수하지 않을 경우 이용 허락 권한이 즉시 자동으로 종료된다는 조항을 두고 있습니다(예를 들어AGPL v3.0 제8항). 최근 독일 베를린 지방법원도Greenbone 사건에서 채무자가 라이선스 위반을 한 순간 라이선스가 바로 종료되고 저작권 침해가 성립한다고 판단하였습니다. 

또한 파생저작물의 판단 범위와 코드의 결합 형태 역시 실무적으로 매우 까다로운 쟁점입니다. 특히 강력한 카피레프트 라이선스가 적용된 경우, 어디까지를 오픈소스의 영향을 받는 파생저작물로 볼 것인지가 관건입니다. 단순히 오픈소스 코드를 직접 수정하는 상황을 넘어, 특정 라이브러리를 함수 호출이나 링크 방식으로 연결하여 기능적으로 결합하는 행위가 파생저작물을 형성하는지에 따라 기업이 독자적으로 개발한 소스코드까지 무상으로 공개해야 하는 리스크가 결정되기 때문입니다. 만약 결합된 전체 프로그램이 파생저작물로 판단되면 기업의 핵심 기술 자산이 강제로 공개될 수 있어 비즈니스에 치명적인 영향을 미치게 될 수 있습니다.

마지막으로 저작권 고지 및 소스코드 제공 의무의 성실한 이행 여부도 쟁점입니다. 오픈소스 라이선스가 부과하는 가장 기본적인 의무인 저작권 고지 사항과 라이선스 사본 첨부가 적절히 이루어졌는지는 재판의 향방을 가르는 중요한 요소입니다. 원저작자의 이름을 고의로 삭제하거나 자사의 명의로 치환하는 행위는 저작권 침해의 전형적인 유형입니다. 또한 소스코드를 제공할 때 대응하는 전체 소스코드를 온전하게 제공했는지, 아니면 일부를 누락하거나 알아보기 힘든 형태로 제공했는지 등 의무 이행의 질적 수준이 법적 책임의 경중을 판단하는 기준이 될 수 있습니다. 사소한 고지 누락이나 코드 결합 방식의 차이가 기업 전체에 큰 법적 리스크로 이어질 수 있으므로 주의가 필요합니다. 

4. 기업이 마주칠 수 있는 법적 리스크 및 대응 방안

오픈소스 라이선스 위반은 기업에 비즈니스에 큰 영향을 미칠 수 있습니다. 오픈소스 라이선스를 위반하는 기업은 민사 소송에 노출될 수 있고 라이선스 위반이 인정되는 경우(징벌적) 손해배상과 관련 관련 제품의 파기(금지 명령), 형사적 책임으로 이어질 수 있기 때문입니다. 

이러한 리스크를 방지하기 위해 기업은 체계적인 대응 체계 또는 오픈소스 거버넌스를 갖출 필요가 있습니다. 

일례로 SBOM(Software Bill of Materials) 도입을 고려해볼 수 있습니다. 소프트웨어 개발 초기부터 포함된 모든 오픈소스의 목록과 라이선스를 식별하고, 자동화 도구를 활용해 라이선스 간의 양립성을 상시 확인해야 합니다. 

제품 배포 전 기술적 포렌식 검증을 실시도 고려해볼 수 있습니다. 소스코드 스캐닝 도구를 통해 저작권 고지 누락이나 의도치 않은 카피레프트 코드의 포함 여부를 정밀하게 점검하는 것입니다. 

효과적인 거버넌스 구축을 위해서는 기획부터 배포에 이르는 소프트웨어 생애주기 전반에 준법 절차를 내재화해야 하며, 이를 전담할 조직이나 정책도 마련할 필요가 있습니다. 

경영진 또한 이를 단순한 비용이 아닌 비즈니스에 있어 핵심적인 리스크로 인식하고 거버넌스 구축 및 철저한 컴플라이언스를 갖출 필요가 있습니다.

현) 법무법인(유) 율촌 변호사 현) 국가인공지능전략위원회 자문위원 현) 과학기술정보통신부 ICT 연구개발사업 종합심의위원회 민간위원 현) 질병관리청 IRB 데이터분과 위원 현) 특허청 산업재산권 법제자문 위원회 위원  현) 지식재산위원회 지식재산권 관련 소송 전문성 제고 특별전문위원회 위원 현) 과학기술정보통신부 개인정보 활용 사업 자문위원