기술

cPanel 인증 우회 결함, 웹사이트 7천만 개를 누구에게나 열어둔 상태로 만들었다

이 결함은 cPanel이 패치를 공개하기 전부터 이미 악용되고 있었다. 대형 호스팅 업체들은 업데이트를 배포하는 동안 관리 포트의 외부 접근을 일시적으로 차단했고 — 인터넷의 나머지 부분은 지금도 뒤처짐을 따라잡고 있다.
cPanel 인증 우회 결함, 웹사이트 7천만 개를 누구에게나 열어둔 상태로 만들었다
cPanel bug
Susan Hill
2026.04.29 18:32

cPanel과 WHM에 발견된 치명적 인증 우회 결함은 공격자가 사용자 이름이나 비밀번호 없이 인터넷에 노출된 어떠한 제어판이라도 정문을 통해 그대로 들어올 수 있도록 허용했다. CVE-2026-41940으로 등록된 이 취약점의 CVSS 점수는 10점 만점에 9.8점으로, 전 세계 약 7천만 개 도메인을 관리하는 이 소프트웨어의 모든 지원 버전에 영향을 미친다. 보안 연구자들은 긴급 패치가 배포되는 시점에 이미 실제 공격이 진행 중이었다고 확인했다 — 많은 호스팅 업체에게 던져진 질문은 더 이상 “우리 서버가 취약했는가”가 아니라, “업데이트가 도달하기 전에 침해를 당했는가”이다.

이 취약점은 cPanel의 세션 로딩·저장 로직에 자리 잡고 있으며 내부 식별자는 CPANEL-52908이다. 실질적인 공격 수법은 단순했다: 공격자가 잘못된 형식의 로그인 요청을 보내기만 하면, 한 번도 인증한 적 없는 계정의 유효한 세션 자격 증명을 받아낼 수 있었다 — 최악의 경우 호스팅 계정, 메일 라우팅, SSL 인증서, 데이터베이스 서비스를 모두 통제하는 서버 측 대시보드인 WHM의 root 권한까지 손에 들어왔다. 긴급 패치가 필요한 버전 줄기는 여섯 개로, 11.110.0.97, 11.118.0.63, 11.126.0.54, 11.132.0.29, 11.134.0.20, 11.136.0.5이다. 지원이 종료된 cPanel 버전을 여전히 사용하는 서버는 패치 자체를 받지 못하므로, 이미 침해된 것으로 간주해야 한다.

cPanel은 일반 사용자 대상 웹 상당 부분을 떠받치는 공유 호스팅 인프라의 표준 제어판 계층이다. 단 한 대의 cPanel 서버가 침해되면, 그 아래 수천 개 사이트로 영향이 번질 수 있다 — 해당 머신에 호스팅된 모든 도메인은 물론, 그들의 이메일, 데이터베이스, 고객 파일까지 포함된다. watchTowr Labs 연구팀은 영향을 받은 시스템을 “인터넷의 상당 부분에 대한 관리 평면”이라고 표현했으며, 한 호스팅 업체 KnownHost는 어떠한 공개 경고가 발표되기도 전에 이미 실제 악용이 진행 중이었다고 인정했다.

딥시크 V4, GPT-5 5분의 1 가격에 엔비디아 없이 작동

플랫폼 위에서 활동하는 가장 큰 리셀러 호스팅 업체 중 하나인 Namecheap은 매우 이례적인 조치를 취했다. 패치를 배포하는 동안 자사 모든 고객을 대상으로 cPanel과 WHM의 웹 진입 포트인 2083번과 2087번 포트에 대한 외부 접근을 일시적으로 차단한 것이다. 업데이트가 회사의 Reseller 및 Stellar Business 서버군에 배포 완료되었을 때, 플랫폼은 외부에서 보기에 사실상 몇 시간 동안 어두워져 있었다. 다른 대형 업체들도 비슷한 권고문을 발표했으며, 고객들에게 자동 점검 시간을 기다리지 말고 root 권한으로 /scripts/upcp –force를 실행해 업데이트를 강제로 받으라고 권고했다.

경고에는 단서가 따른다. cPanel 측은 이 취약점에 대한 깊은 기술적 세부사항을 공개하지 않았으며, 공개 분석 대부분은 외부 연구자들이 패치를 리버스 엔지니어링한 결과물에 의존한다. 이는 정확한 악용 조건이 여전히 부분적으로만 드러나 있다는 의미다. “7천만 도메인”이라는 숫자는 cPanel이 자체 마케팅 자료에서 오래 전부터 사용해온 추정치이며, 한 대의 패널 서버가 수천 개 사이트를 처리하는 공유 호스팅 계정을 포함한다 — 실제로 영향을 받은 고유 서버 수는 이보다 훨씬 적다. 그리고 패치 이전 악용은 확인되었지만, 이번 CVE와 연결된 대규모 공개 침해 사건은 아직 공표되지 않았다 — 향후 몇 주 안에 디지털 포렌식 조사가 마무리되며 상황이 바뀔 수도 있고, 바뀌지 않을 수도 있다.

이번 사건은 보안 연구자들이 수년 동안 지적해온 패턴에 정확히 들어맞는다: 일반 사용자 호스팅의 관리 계층은 인터넷에서 가장 가치 있고 가장 감시가 적은 표적 중 하나라는 점이다. 단일 제어판 컴포넌트에 결함이 생기면, 공격자는 별다른 정교한 공격 사슬 없이도 방어가 미흡한 중소기업 사이트와 개인 사이트 수천 개의 열쇠를 한 번에 손에 넣을 수 있다. cPanel급 소프트웨어의 인증 우회 버그는 지하 시장에서 비싸게 거래되며, 결함 공개 시점부터 패치가 모든 곳에 도달하기까지의 간격은 관리되지 않는 독립 서버 기준으로 수 주 단위로 측정된다 — 대중의 뉴스 사이클이 한참 다른 주제로 넘어간 이후까지 길게 이어진다.

cPanel은 4월 28일에 긴급 패치를 공개했으며, Namecheap과 다른 대형 업체들은 4월 29일 이른 시간대에 배포를 마쳤다. cPanel 또는 WHM 서버 관리자는 즉시 자사 빌드가 패치 적용 버전 중 하나에 해당하는지 확인해야 하며, 패치 이전 며칠 동안 인터넷에 노출된 채로 취약 버전을 운영했던 모든 서버는 잠재적으로 침해된 것으로 간주해야 한다. cPanel은 사후 공개 보고서 발행을 약속하지 않았다.

관련 기사

Endflame, 일본을 배경으로 한 심리 호러 게임 ‘Silent Road’ 발표

Endflame, 일본을 배경으로 한 심리 호러 게임 ‘Silent Road’ 발표

오포 파인드 X9 울트라, 10배 광학줌과 탈착식 300mm 렌즈

오포 파인드 X9 울트라, 10배 광학줌과 탈착식 300mm 렌즈

어드밴텍, 퀄컴 스냅드래곤 X 엘리트 탑재한 차세대 엣지 AI 솔루션 공개

어드밴텍, 퀄컴 스냅드래곤 X 엘리트 탑재한 차세대 엣지 AI 솔루션 공개

컴캐스트, 올림픽 게임을 위한 첫번째 고급 4K 올림픽 경험 Xfinity X1를 선보여

컴캐스트, 올림픽 게임을 위한 첫번째 고급 4K 올림픽 경험 Xfinity X1를 선보여

전략적 제휴: ‘토킹톰’과 ‘미라큘러스’, 멀티플랫폼 크로스오버 론칭

전략적 제휴: ‘토킹톰’과 ‘미라큘러스’, 멀티플랫폼 크로스오버 론칭

Pixel Maniacs와 PM Studios, 색상 기반 퍼즐 게임 ChromaGun 2: Dye Hard 발표

Pixel Maniacs와 PM Studios, 색상 기반 퍼즐 게임 ChromaGun 2: Dye Hard 발표

토론

댓글 0개가 있습니다.