cPanel 인증 우회 취약점 악용 확인…CISA '즉시 패치' 권고

전 세계 웹 호스팅 제어판 플랫폼인 cPanel에 심각한 인증 우회 취약점이 발견되어 전 세계적으로 악용되고 있는 것으로 확인됐다. 보안 연구기관과 호스팅 업체들이 이 문제를 확인했으며, 미국 사이버보안 인프라 보안국(CISA)도 즉각적인 패치 적용을 권고했다.

이 취약점은 CVE-2026-41940으로 추적되며, cPanel 11.40 이후 버전과 WebHost Manager(WHM), 그리고 cPanel 기반의 워드프레스 호스팅 관리 패널 WP Squared에 영향을 미친다. 보안 기업 Rapid7은 쇼단(Shodan)을 활용한 인터넷 스캔을 통해 약 150만 대의 cPanel 인스턴스가 노출된 상태임을 확인했지만, 실제 취약한 시스템 수는 아직 정확히 파악되지 않았다.

cPanel은 지난 화요일 패치를 배포했지만, 그 시점에는 이미 악용이 시작된 상태였다. cPanel에 의존하는 호스팅 업체 KnownHost는 이번 주 초 악용 사례가 패치 이전부터 확인됐다고 밝혔다. CISA는 이 CVE를 KEV(Known Exploited Vulnerabilities) 목록에 추가하며 신속한 조치를 요구했다.

취약점의 기술적 원리

보안 기업 watchTowr는 기술 분석 보고서를 통해 이 취약점이 로그인 과정에서 사용자 입력 처리의 부적절성에서 비롯된다고 설명했다. cPanel은 로그인 요청 시 사용자 데이터를 서버 측 세션 파일에 기록하기 전에 신원 검증을 수행하는데, 공격자는 이 과정에서 비밀번호 필드에 숨겨진 줄바꿈 문자를 삽입할 수 있다. cPanel은 이러한 특수 문자를 필터링하지 못해 악성 데이터가 세션 파일에 주입된다.

이후 악의적으로 조작된 두 번째 요청을 통해 주입된 데이터가 세션의 활성 캐시에 포함되면서, cPanel은 이를 인증된 상태로 인식하고 비밀번호 검증을 건너뛰게 된다. 결과적으로 공격자는 실제 인증 정보 없이도 시스템에 접근할 수 있게 된다.

패치 및 대응 방안

cPanel은 세션 파일 내 악용 흔적을 탐지할 수 있는 스크립트를 공개했다. 이 스크립트는 세션에 주입된 인증 타임스탬프, 사전 인증 세션의 인증 속성, 그리고 비밀번호 필드 내 포함된 줄바꿈 문자 등을 검사할 수 있다. watchTowr는 관리자들이 시스템의 취약 여부를 확인할 수 있도록 Detection Artifact Generator 도구를 별도로 제공했다.

대형 도메인 등록 및 호스팅 업체 Namecheap은 패치 배포 전 임시 조치로 cPanel과 WHM의 포트 2083, 2087 연결을 차단했으며, 패치 적용 후 정상 서비스를 재개했다.

cPanel의 패치는 11.110.0부터 11.136.0까지의 7개 버전과 WP Squared 11.136.1에 적용됐다. 패치에는 핵심 세션 저장 과정에서 위험한 입력을 자동으로 제거하는 기능이 추가됐으며, 세션별 암호화 키가 없을 경우 발생하는 보안 우회도 차단했다. 이 CVE는 CVSS 점수 9.8의 심각한 수준으로 분류됐다.

“이 취약점은 로그인 프로세스의 근본적인 결함으로 인해 발생했으며, 패치가 적용되지 않은 시스템은 즉각적인 업데이트가 필요하다.” — watchTowr

즉시 조치 권고

• cPanel 사용자는 가능한 한 빨리 최신 버전으로 업데이트할 것
• 세션 파일 모니터링을 통해 악용 흔적 확인
• 필요 시 Namecheap의 임시 차단 조치와 같은 추가 보안 조치 고려
• CISA의 KEV 목록에 오른 취약점이므로 신속한 대응 필수