LicheeRV Nano의 스펙시트에 마이크가 명시되어 있음
아마도 KVM 제품에 마이크를 넣으려던 의도는 없고, 기존 SBC 보드 재활용으로 비용을 낮추려 했던 것 같음
물론 이를 명확히 알리지 않은 건 문제이고, 펌웨어 보안 이슈도 있어서 인상은 좋지 않음
하지만 “중국산 KVM에 숨겨진 마이크”라는 표현은 다소 과장된 상상력을 자극함
악의적인 의도보다는 중국식 제조 접근법의 결과라고 생각함
보안 문서화가 거의 없어서 마치 휴지조각 수준의 보안성을 가진 것처럼 보임
“기존 재고 재사용”은 변명이 될 수 없음
현재 이 장치를 판매하면서 작동 가능한 마이크가 있다는 사실을 공개하지 않고 있음
“중국산”이라는 점 때문에 중국 정부가 마이크에 접근할 수 있을 거라는 생각이 들지만,
사실 그 정도 접근이 가능하다면 KVM의 I/O 전체를 읽는 것도 가능할 것임
서버룸에 설치된 KVM에서 마이크가 유용할 일은 거의 없음
오히려 키로거 같은 기능이 더 위험하므로, 오픈소스 소프트웨어를 지원하는 장치를 쓰는 게 좋음
일부 불만은 임베디드 리눅스 경험이 없는 사람이 쓴 것처럼 보임
진짜 문제는 하드코딩된 JWT 비밀키, 루트 권한 실행 등이고,
중국 DNS나 systemd 부재는 전혀 이상하지 않음
tcpdump나 aircrack이 설치된 것도 보안상 큰 차이는 없음
대부분 사용자는 외부에 웹 인터페이스를 노출하지 않을 것이고, Tailscale 기본 탑재는 오히려 인상적임
“이상한 WireGuard 버전” 언급은 단순한 오해일 가능성이 큼
이 스레드 대부분이 무지와 선입견으로 가득하다고 생각함
이 회사는 원래 개발용 보드와 SoC를 만드는 곳이고, GitHub에 코드 공개도 되어 있음
게다가 SiSpeed는 RISC-V 메인라인 리눅스에도 기여 중임
임베디드 보안은 어느 나라든 다 취약한 편임
Hanlon’s Razor를 적용하면, 악의보다는 무능의 결과로 보임
크라우드펀딩 프로젝트의 한계로 이해할 수 있는데,
작성자는 이를 악의적 해킹 시도로 해석한 듯함
실제로 많은 봇넷이 패치되지 않은 구형 라우터에서 형성된 사례가 있음
문제 목록을 보면 단순히 리눅스 이해 부족과 편견이 섞인 주장으로 보임
Apple의 Siri가 사생활을 녹음했다는 소송에서 9,500만 달러 합의한 사례를 언급하며,
“프라이버시를 중시한다는 Apple도 이런데”라는 식의 클릭베이트 문장이 이해된다고 함
하지만 그 인용문은 오해의 소지가 있음
원고 측도 녹음이 우발적 활성화 때문이었다고 인정했고,
Apple이 이를 타깃 광고에 사용했다는 증거는 없음
단지 Siri 개선을 위해 외부 계약자에게 일부 데이터를 제공했을 뿐임
내 KVM에서도 비슷한 보안 문제가 있었음
여러 PC를 공유하는 일반적인 KVM이었는데, 어느 날 자체 IP로 GB 단위 트래픽을 전송하는 걸 발견함
바로 네트워크 차단했지만, 화면 캡처와 입력 장치 접근이 가능했기에
혹시라도 데이터가 유출됐을까 걱정되어 전자 폐기물로 버림
네트워크 연결형 KVM이 얼마나 위험할 수 있는지 깨달음
버린 게 아쉬움. Wireshark로 트래픽 캡처해서 모델 정보를 공유했다면
다른 사람들에게 경고가 되었을 것임
단순히 “Broadcast to multicast” 설정을 끄거나 목적지 주소를 바꾸면 됐을 수도 있음
일부 네트워크 KVM은 원격 제어 앱을 위해 이런 기능을 사용함
모델명을 공개해줄 수 있는지 궁금함. 공공 안전에 관련된 문제일 수 있음
“systemd와 apt가 없는 리눅스”를 문제로 지적한 부분이 이해되지 않음
아마 Alpine Linux일 가능성이 높음
GNOME도 없을 텐데, 이런 걸 문제로 삼는 건 우스움
소프트웨어가 없으면 보안 문제, 있으면 또 보안 문제라니 모순적임
이런 소형 임베디드 장치에서는 당연한 구성임 busybox만 있어도 다행인 수준임
tcpdump와 aircrack 존재를 문제 삼는 건 AI가 생성한 과장된 기사처럼 느껴짐
마이크는 보드에서 눈에 띄는 부품이라 숨기기 어렵음
오히려 저가 필름 커패시터를 이용해 고급 ADC에 연결하면 더 교묘할 수 있음
아날로그 오디오 설계에서는 이런 잡음 특성이 중요하며,
주파수별로 다른 커패시터와 디지털 처리를 조합하면
저가 마이크 수준의 음질 재현도 가능함
하지만 제품에서 공식적으로 쓰이지 않는 부품이 보드에 있다는 건 문제임
실수라 하더라도 부주의이며, 가정에서 사용한다면 심각한 위험이 될 수 있음
“Debian 기반이 아니라서 문제”라는 주장은 말이 안 됨
apt가 없다고 해서 보안 이슈가 되는 건 아님
중국 DNS를 강제하는 KVM이라면 그 자체로 경고 신호임
인터넷 기반 KVM은 신뢰하기 어렵다고 느낌
그렇다고 NSA가 관리하는 DNS를 더 신뢰해야 하나 하는 의문도 듦
iLO, iDRAC, vPro 같은 기업용 원격 관리 기술도 비슷한 위험을 안고 있음
이건 새로운 뉴스가 아님
원래 기판 자체에 마이크가 포함되어 있었고, NanoKVM은 그 보드를 기반으로 만든 것임
Hacker News 의견
아마도 KVM 제품에 마이크를 넣으려던 의도는 없고, 기존 SBC 보드 재활용으로 비용을 낮추려 했던 것 같음
물론 이를 명확히 알리지 않은 건 문제이고, 펌웨어 보안 이슈도 있어서 인상은 좋지 않음
하지만 “중국산 KVM에 숨겨진 마이크”라는 표현은 다소 과장된 상상력을 자극함
보안 문서화가 거의 없어서 마치 휴지조각 수준의 보안성을 가진 것처럼 보임
현재 이 장치를 판매하면서 작동 가능한 마이크가 있다는 사실을 공개하지 않고 있음
사실 그 정도 접근이 가능하다면 KVM의 I/O 전체를 읽는 것도 가능할 것임
오히려 키로거 같은 기능이 더 위험하므로, 오픈소스 소프트웨어를 지원하는 장치를 쓰는 게 좋음
진짜 문제는 하드코딩된 JWT 비밀키, 루트 권한 실행 등이고,
중국 DNS나 systemd 부재는 전혀 이상하지 않음
tcpdump나 aircrack이 설치된 것도 보안상 큰 차이는 없음
대부분 사용자는 외부에 웹 인터페이스를 노출하지 않을 것이고, Tailscale 기본 탑재는 오히려 인상적임
“이상한 WireGuard 버전” 언급은 단순한 오해일 가능성이 큼
이 회사는 원래 개발용 보드와 SoC를 만드는 곳이고, GitHub에 코드 공개도 되어 있음
게다가 SiSpeed는 RISC-V 메인라인 리눅스에도 기여 중임
임베디드 보안은 어느 나라든 다 취약한 편임
크라우드펀딩 프로젝트의 한계로 이해할 수 있는데,
작성자는 이를 악의적 해킹 시도로 해석한 듯함
실제로 많은 봇넷이 패치되지 않은 구형 라우터에서 형성된 사례가 있음
“프라이버시를 중시한다는 Apple도 이런데”라는 식의 클릭베이트 문장이 이해된다고 함
원고 측도 녹음이 우발적 활성화 때문이었다고 인정했고,
Apple이 이를 타깃 광고에 사용했다는 증거는 없음
단지 Siri 개선을 위해 외부 계약자에게 일부 데이터를 제공했을 뿐임
여러 PC를 공유하는 일반적인 KVM이었는데, 어느 날 자체 IP로 GB 단위 트래픽을 전송하는 걸 발견함
바로 네트워크 차단했지만, 화면 캡처와 입력 장치 접근이 가능했기에
혹시라도 데이터가 유출됐을까 걱정되어 전자 폐기물로 버림
네트워크 연결형 KVM이 얼마나 위험할 수 있는지 깨달음
다른 사람들에게 경고가 되었을 것임
일부 네트워크 KVM은 원격 제어 앱을 위해 이런 기능을 사용함
GNOME도 없을 텐데, 이런 걸 문제로 삼는 건 우스움
busybox만 있어도 다행인 수준임
오히려 저가 필름 커패시터를 이용해 고급 ADC에 연결하면 더 교묘할 수 있음
아날로그 오디오 설계에서는 이런 잡음 특성이 중요하며,
주파수별로 다른 커패시터와 디지털 처리를 조합하면
저가 마이크 수준의 음질 재현도 가능함
실수라 하더라도 부주의이며, 가정에서 사용한다면 심각한 위험이 될 수 있음
apt가 없다고 해서 보안 이슈가 되는 건 아님
인터넷 기반 KVM은 신뢰하기 어렵다고 느낌
원래 기판 자체에 마이크가 포함되어 있었고, NanoKVM은 그 보드를 기반으로 만든 것임