본문으로 건너뛰기
피드

Flipper Zero로 매장 전자가격표 연구하기 — TagTinker 공개

open-source 약 4분

Flipper Zero용 앱 TagTinker가 GitHub에 올라왔다. 적외선 기반 전자가격표(ESL) 프로토콜을 실험실 수준에서 관찰·리플레이·분석하는 교육용 툴킷이다. furrtek의 ESL 리버스 엔지니어링과 PrecIR 레퍼런스를 포팅한 결과물로, README 절반 가까이가 '실매장 장비에 쓰지 말라'는 법적 경고로 채워져 있다.

  • 1

    매장 ESL 태그의 적외선 변조 프로토콜을 프레임 단위로 분석·리플레이

  • 2

    모노크롬 이미지를 태그용 페이로드로 변환하는 로컬 웹 유틸 포함

  • 3

    배포 바이너리 없이 소스만 제공 — 본인 펌웨어와 툴체인에 맞춰 ufbt로 직접 빌드

  • 4

    많은 ESL 태그가 펌웨어·주소·데이터를 휘발성 RAM에 저장 → 배터리 빼면 '죽어버림'

  • 5

    furrtek / PrecIR 공공 리버스 엔지니어링 성과를 포팅·각색한 프로젝트

  • Flipper Zero용 앱 TagTinker가 GitHub에 올라옴 — 매장 전자가격표(ESL, Electronic Shelf Label)의 적외선 통신 프로토콜을 연구하는 교육용 툴킷
    • 개발자가 명시적으로 "연구 전용, 실매장 장비에 쓰지 말 것"을 README에 반복 강조. 불법 사용은 전적으로 유저 책임
    • furrtek의 ESL 리버스 엔지니어링 작업과 PrecIR 레퍼런스 구현을 포팅·각색한 결과물이라고 밝힘

뭘 하는 툴인가

  • 적외선 ESL 태그가 쓰는 "주소 지정 프로토콜 프레임"(command/parameter/integrity 필드 포함)을 관찰·리플레이 분석할 수 있게 해줌
    • 일반 소비자 IR 리모컨 명령이 아니라 변조된 적외선 전송을 쓴다는 점이 핵심. 즉 Flipper가 수신·송신을 흉내낼 수 있는 신호 수준
    • 모노크롬 이미지를 ESL 태그용 페이로드로 변환해주는 로컬 웹 유틸(tools/tagtinker.html)도 같이 들어 있음
  • 배포 바이너리(.fap) 없이 소스만 제공. 본인 펌웨어와 툴체인에 맞춰 ufbt로 직접 빌드해야 함 — 의도된 "마찰"

재미있는 하드웨어 디테일

  • 많은 적외선 ESL 태그는 펌웨어·주소·디스플레이 데이터를 플래시가 아니라 휘발성 RAM에 저장함. 비용·전력 절감 목적
    • 배터리 빼거나 완전 방전되면 태그가 "죽어버림" — 원래 베이스 스테이션 없으면 복구 불가
    • 즉 매장에서 수천 개 태그를 관리할 때도 전원 끊기면 초기화해야 한다는 흥미로운 제약

법적·윤리적 프레이밍

  • README 거의 절반이 "승인된 하드웨어 대상 연구만 허용" 경고. 벤더·소매업체·운영자와 제휴·승인 관계 없음을 반복 명시
    • Momentum 펌웨어(에셋팩 비활성화 상태)에서 주로 테스트했다고 밝힘 — 다른 펌웨어 브랜치는 클린 베이스라인부터 검증하라는 가이드
    • GPL-3.0 라이선스. 기여·이슈·PR은 받는데 메인테이너가 여행 중이라 응답은 느릴 수 있다고
  • HN 프론트에 걸린 제목 "Edit store price tags using Flipper Zero"는 자극적이지만, 리포지토리 본문은 의도적으로 "배포 지향 지침"과 "실 상용 시스템 상호작용 가이드"를 배제했다고 선언

ℹ️참고

> 이런 ESL 프로토콜 연구가 공개될 때마다 "매장에서 가격 바꿀 수 있냐"는 질문이 나오는데, 이 프로젝트는 의도적으로 그 경로를 막고 프로토콜 구조 이해와 실험실 수준 리플레이에 범위를 한정함. 실사용은 명시적 허가 없이는 절대 안 된다는 게 반복 강조 포인트

ESL 프로토콜 연구가 나올 때마다 '매장 가격 조작 가능하냐'는 질문이 따라붙는데, 메인테이너는 의도적으로 배포·운영 지침을 배제하고 실험실 범위로 스코프를 좁혔다. 하드웨어 리버스 엔지니어링 커뮤니티가 법적 리스크를 관리하면서 지식을 공개하는 방식의 한 사례다.

댓글

댓글

댓글을 불러오는 중...

open-source

수세 CEO 기조연설, 오픈소스가 디지털 주권과 회복력을 이끈다

수세콘26 개막 키노트에서 리우벤 CEO가 디지털 주권과 회복력을 올해 주제로 제시하고, 멀티 리눅스·하이브리드 클라우드·SLES 16·수세 AI 팩토리·로산트 오픈소스화 등 회복력 다섯 경로를 발표함. 수세 조사에서 기업 98%가 주권을 우선순위로 답했지만 실제 행동은 52%에 그치는 간극도 공개됨.

open-source

Posit가 공개한 'ggsql' 알파 — SQL 문법으로 쓰는 ggplot2

Posit(구 RStudio)가 SQL 문법 기반의 Grammar of Graphics 구현체 ggsql 알파 버전을 공개했다. VISUALIZE, DRAW, SCALE 같은 새 절로 SQL 쿼리 안에서 바로 시각화를 선언할 수 있고, R/Python 런타임 없이 단일 실행 파일로 동작한다. 핵심은 쿼리 푸시다운으로 100억 행 규모에서도 집계값만 가져와 플롯을 그릴 수 있다는 점.

open-source

GitHub 가짜 스타 경제 해부 — $0.06짜리 스타가 어떻게 수백만 달러 투자로 바뀌는가

CMU·NC State·Socket 공동 연구팀이 GitHub 메타데이터 20TB를 분석해 가짜 스타 약 600만 개, 리포 18,617개를 탐지했다. 2024년 7월 기준 스타 50개 이상 리포의 16.66%가 조작에 연루됐고, VC가 시드·시리즈 A 판단에 스타 수를 쓰는 관행 때문에 ROI 최대 117,000배짜리 조작 시장이 형성됐다. 포크/스타 비율이 가장 강력한 탐지 지표다.

open-source

인피니언이 차량용 MCU에 'RISC-V' 박는다 — 반도체의 리눅스가 자동차로

차량용 반도체 1위 인피니언이 AURIX 포트폴리오에 RISC-V 기반 제품군을 추가하고 2027년 본격 시장 도입을 준비 중. 보쉬·NXP·퀄컴·ST마이크로와 합작사 퀸타우리스를 통해 SW 표준화도 함께 밀고 있는데, SDV 전환과 벤더 종속 탈피가 핵심 명분임.

open-source

오픈서치, 엔터프라이즈용 18개월 LTS 프로그램 공개

오픈서치 소프트웨어 재단이 주요 버전별로 최소 18개월 지원하는 LTS 프로그램을 발표했다. 첫 대상은 2.19와 3.6이며 SBOM 구축, 60일 이내 중·고위험 취약점 대응, 인증 벤더 모델을 통해 엔터프라이즈 운영 리스크를 낮추는 데 초점을 맞췄다. 첫 공인 LTS 제공사는 빅데이터 부티크, 엘리아트라, 리졸브 테크놀로지 세 곳이다.