---
title: "Apple Time Capsule 내부 탐험기: 루트 셸 획득까지"
published: 2025-12-03T23:35:45.000Z
canonical: https://jeff.news/article/413
---
# Apple Time Capsule 내부 탐험기: 루트 셸 획득까지

macOS Tahoe에서 AFP 지원이 중단되면서 쓸모없어진 Apple Time Capsule을 살리기 위한 해킹기. ACP 디버그 플래그로 SSH를 활성화해서 NetBSD 6.0 루트 셸에 진입하는 과정을 설명함.

## 배경

- Apple Time Capsule은 2008년 Steve Jobs가 MacBook Air와 함께 발표한 백업 어플라이언스임. AirPort Extreme WiFi 공유기에 HDD를 내장한 구조
- macOS Tahoe부터 Time Capsule을 백업 디스크로 더 이상 권장하지 않음. AFP 클라이언트가 향후 macOS에서 제거될 예정이기 때문
- SMB 공유도 가능하지만 SMB1만 지원해서 사실상 쓸모없는 상태

## 하드웨어 스펙

- SoC: Broadcom BCM53019 — 듀얼코어 ARM Cortex-A9, 클럭 약 1GHz
- RAM: 256MB, 플래시: 32MB
- 내부에 3.5인치 SATA HDD 슬롯 보유
- 헤드리스 임베디드 장비로는 충분한 성능

## 루트 접근 방법

- Time Capsule은 커스터마이즈된 NetBSD 6.0 커널을 구동함
- Apple의 AirPort Control Protocol(ACP)에 디버그 플래그가 남아있어서 SSH 서버를 활성화할 수 있음
- `acp --host {hostname} --password {password} setprop dbug 0x3000` 명령 후 리부트하면 SSH가 열림
- 최신 SSH 클라이언트에서는 `ssh-rsa`가 기본 비활성화되어 있어서 `-oHostKeyAlgorithms=ssh-rsa` 옵션이 필요함
- 접속하면 `NetBSD 6.0 evbarm` 루트 셸이 뜸. 납땜이나 플래시롬 덤프 없이 소프트웨어만으로 진입 가능

## 핵심 포인트

- Apple이 ACP 프로토콜에 디버그 플래그를 그대로 남겨둔 덕분에 물리적 해킹 없이 루트 셸 획득이 가능함
- NetBSD 기반이라 POSIX 호환 환경이 그대로 살아있어서, 향후 커스텀 파일 서버로 재활용할 가능성이 열림
- 시리즈 글로, 다음 편에서 내부 구조를 더 파고들 예정

## 핵심 포인트

- Time Capsule 하드웨어: Broadcom BCM53019 듀얼코어 ARM Cortex-A9 1GHz, 256MB RAM, 32MB 플래시
- macOS Tahoe부터 AFP 클라이언트 제거 예정으로 Time Capsule 백업이 사실상 불가능해짐
- ACP 프로토콜의 디버그 플래그(0x3000)로 SSH 서버 활성화 가능 — 물리적 해킹 불필요
- 커스터마이즈된 NetBSD 6.0 기반이라 POSIX 호환 환경이 그대로 살아있음
- 최신 SSH 클라이언트에서는 ssh-rsa가 비활성화되어 있어 별도 옵션 필요

## 인사이트

Apple이 디버그 플래그를 제품에 그대로 남겨둔 덕분에 단종된 하드웨어를 재활용할 수 있는 길이 열림. NetBSD 기반이라 커스텀 NAS로 부활시킬 가능성도 있음.