2026년 4월 28일 cPanel 긴급 패치된 CVE-2026-41940은 CVSS 9.8 인증 우회로, 약 60일 zero-day 활용되며 1.5M 노출 인스턴스를 위협했다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 4월 29일, 영국 보안업체 watchTowr Labs가 한 줄짜리 제목의 분석 글을 올렸다. "The Internet Is Falling Down." 그 시점까지 cPanel과 WHM의 인증 우회 취약점은 약 두 달간 알려지지 않은 채 야생에서 활용되고 있었다.
CVSS 9.8을 받은 의 가장 무서운 점은 권한 상승 단계가 없다는 것이다. 인증되지 않은 원격 공격자가 단 한 번의 HTTP 요청으로 root 권한 세션을 획득한다. 그리고 cPanel 인스턴스 한 대는 평균 수십 개의 사이트를 호스팅한다.
| 항목 | 값 |
|---|---|
| CVSS v3.1 | 9.8 (Critical) |
| 벡터 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE | CWE-306 (Missing Authentication for Critical Function) |
| 인터넷 노출 인스턴스 | 약 1.5M ~ 2M+ (Rapid7·Eye Security) |
| 패치 공개일 | 2026-04-28 |
이 사건의 서사 척추는 "패치까지 두 달이 걸렸다"이다. KnownHost CEO Daniel Pearson은 Help Net Security 인터뷰에서 "this has absolutely been used in the wild, and has been seen at least for the last 30 days if not longer" 라고 진술했다. KnownHost 측은 첫 관측 시점을 2026년 2월 하순으로 지목한다.
침묵의 두 달 동안 무엇이 있었는가에 대해서는 보도 매체마다 톤이 다르다. KnownHost는 "any exploit has amounted to 'let me see if this works' and then no other changes" 라고 표현했다. 즉 인증 우회 자체는 통했지만, 후속 페이로드 주입이나 백도어 설치 같은 명확한 악용 패턴은 보고된 게 없다는 것이다. 본격적 무기화는 패치 공개 이후 PoC가 풀린 시점부터 가능해질 가능성이 크다.
watchTowr 분석에 따르면 결함은 cPanel·WHM 로그인 처리 과정에 있다. 공격자는 Basic Auth 헤더에 raw \r\n(CRLF)을 주입한다. cPanel은 이 입력을 정제 없이 세션 처리 코드로 흘려보내고, 그 결과 whostmgrsession 쿠키의 암호화 검증 단계를 우회할 수 있다. 우회된 세션 파일에는 임의 속성을 끼워 넣을 수 있고, 공격자는 거기에 user=root를 추가하기만 하면 된다.
이 흐름은 CWE-306("핵심 기능에 대한 인증 누락")에 정확히 해당한다. 단계가 늘어날 때마다 통상 검증이 한 번씩 더 들어가야 하는데, cPanel의 로그인 흐름은 CRLF 한 번으로 그 모든 단계를 건너뛴다.
기술적 부담은 낮다. 인증 정보가 필요 없고(PR:N), 사용자 상호작용도 필요 없으며(UI:N), 공격 복잡도도 낮다(AC:L). 인터넷에 cPanel·WHM 관리 포트(2083, 2087, 2095, 2096)가 노출되어 있다면 그 자체가 공격면이다.
cPanel은 공유 호스팅 시장의 backbone이다. watchTowr는 cPanel이 약 7,000만 개 도메인을 관리하고 있다고 밝혔다. Rapid7과 Shodan 스캔에서는 약 150만 대의 cPanel 인스턴스가 인터넷에 노출되어 있고, Eye Security는 200만 대 이상으로 본다. 두 수치는 "포트가 열려 있는 인스턴스" 기준이며, 그중 패치 미적용 비율은 공개되지 않았다.
이 비율을 단순 평균으로 풀면 인스턴스 한 대당 약 46개의 도메인이 매달려 있다는 의미가 된다. 즉 한 호스트를 흔들면 호스팅된 사이트 수십~수백 곳이 한 번에 노출된다. 공유 호스팅의 구조 자체가 단일 장애점을 만든다.
cPanel의 critical CVE는 과거에도 여러 번 있었다. 2021년 SEC-* 시리즈는 CVSS 8점대였지만 로컬 조건이 필요했고, 2023년 는 무인증 reflected XSS로 약 120만 자산이 영향권에 들어갔지만 등급은 6.1이었다. 9.8 + 인증 우회 + 활성 야생 익스플로잇 조합은 이번이 처음이다.
cPanel 모기업 WebPros는 2026년 4월 28일 7개 지원 라인에 대해 동시 패치를 배포했다. 11.110.0.97 / 11.118.0.63 / 11.126.0.54 / 11.130.0.18 / 11.132.0.29 / 11.134.0.20 / 11.136.0.5, 그리고 매니지드 WordPress 호스팅 제품인 WP Squared 11.136.1.7. 권고는 단순하다. 즉시 업그레이드 후 cpsrvd 데몬을 재시작할 것. 그게 불가능하면 외부에서 포트 2083·2087·2095·2096을 차단하거나 cpsrvd·cpdavd를 멈출 것.
캐나다 사이버보안센터(CCCS)는 4월 29일 공식 권고 AL26-008을 발행했다. 공유 호스팅 환경에서는 호스팅된 모든 사이트의 침해 가능성을 가정하고 점검할 것을 명시했다. Namecheap는 패치 배포 전 TCP 2083·2087을 임시로 방화벽에서 차단했다고 status page에 기록했다.
CISA KEV(Known Exploited Vulnerabilities) 카탈로그에는 이 글 작성 시점(2026-05-01) 기준으로 이 등재되어 있지 않다. 활성 야생 익스플로잇은 다수 매체에서 보도되었지만, KEV 등재 기준인 신뢰 가능한 정부·공급자 차원의 확인 보고가 아직 정리되지 않았기 때문으로 추정된다.
이 사건이 중요한 이유는 한 가지에 모인다. 인터넷의 대형 호스팅 backbone에서 9.8짜리 인증 우회가 약 60일 동안 패치되지 않은 채 노출되어 있었다. 그 사이 KnownHost 같은 대형 매니지드 호스트 운영자만 이상 신호를 감지했고, 벤더는 패치를 4월 28일에야 내놓았다.
지금까지 알려진 후속 악용 사례는 대규모로는 없다. 그러나 PoC 스캐너가 GitHub에 공개되고, watchTowr 분석으로 메커니즘이 풀린 지금부터는 다르다. 패치 직후 주가 일반적으로 가장 위험한 구간이다. 인터넷에 1.5M ~ 2M+ 대의 cPanel 인스턴스가 떠 있는 한, 이 숫자에서 얼마나 빠르게 패치가 따라잡느냐가 다음 몇 주의 피해 규모를 결정한다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0