1. 실행 요약 (Executive Summary)
cPanel & WHM의 로그인 플로우에 존재하는 치명적 인증 우회 취약점(CVE-2026-41940)이 2026년 4월 28일 공개되었습니다. 이 취약점은 CVSS 9.3점(Critical)으로 평가되며, 인증 없이 원격 공격자가 cPanel & WHM 시스템의 root 권한을 획득할 수 있는 취약점입니다.
가장 우려되는 점은 이 취약점이 2026년 2월 말부터 패치 발표 전까지 약 2개월간 제로데이(zero-day)로 악용되었다는 사실입니다. Shodan 데이터에 따르면 약 150만 개의 cPanel 인스턴스가 인터넷에 노출되어 있으며, 이 중 상당수가 영향을 받았을 가능성이 높습니다.
현재 PoC(Proof-of-Concept) 코드가 공개되어 있고, 실제 악용 사례가 다수 보고되고 있습니다. CISA의 Known Exploited Vulnerabilities (KEV) 카탈로그에도 등록되어 있어, 즉시 패치 적용이 필수적입니다.
2. 취약점 개요
2.1 기본 정보
| 항목 | 내용 |
|---|---|
| CVE ID | CVE-2026-41940 |
| CVSS v3.1 점수 | 9.3 (Critical) |
| CVSS 벡터 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
| CWE | CWE-306: Missing Authentication for Critical Function |
| 영향 제품 | cPanel & WHM, WP Squared |
| 영향 버전 | cPanel & WHM 11.40.0.0 이후 모든 버전 |
| 발견자 | watchTowr Labs (@watchtowrcyber) |
| 패치 발표일 | 2026년 4월 28일 |
| 제로데이 악용 시작일 | 2026년 2월 23일경 추정 |
2.2 취약점 설명
cPanel & WHM의 로그인 플로우(login flow)에 존재하는 CRLF(Carriage Return Line Feed) 인젝션 취약점을 통해, 인증되지 않은 원격 공격자가 시스템의 관리자 권한(root)을 획득할 수 있습니다.
이 취약점은 세션(session) 처리 과정의 결함을 악용하며, 별도의 자격 증명이나 익스플로잇 키가 필요 없습니다. 단순한 HTTP 헤더 조작만으로도 권한 상승이 가능합니다.
3. 기술적 분석
3.1 취약점 원인
cPanel & WHM의 세션 라이터(session writer) 컴포넌트에 CRLF 인젝션 취약점이 존재합니다. 로그인 요청 시 전달되는 특정 HTTP 헤더가 적절히 검증되지 않아, 공격자가 세션 쿠키와 인증 헤더를 조작할 수 있습니다.
3.2 공격 체인 (Attack Chain)
watchTowr Labs가 공개한 PoC 코드에 따르면, 공격은 다음과 같은 단계로 진행됩니다:
[1] Preauth Session 생성
└─ 악의적인 세션 베이스 생성 (예: :vQ2WC5Bexp0oFSa7)
[2] CRLF Injection 전송
└─ 조작된 Basic Auth 헤더 + no-ob 쿠키 전송
└─ HTTP 307 응답으로 세션 토큰 유출
└─ 유출된 토큰 예: /cpsess5691070609
[3] 권한 상승 트리거
└─ do_token_denied 엔드포인트 호출
└─ Raw 세션 데이터 → 캐시 전파
[4] Root 권한 확인
└─ /json-api/version 엔드포인트 호출
└─ HTTP 200 응답으로 WHM root 권한 확인
3.3 영향 범위
- 완전한 관리자 권한 탈취: 공격자는 cPanel & WHM의 모든 기능에 접근 가능
- DNSOnly 배포도 영향: cPanel의 DNS 전용 배포판도 취약
- 공유 호스팅 위험: 단일 cPanel 인스턴스에서 수백~수천 개의 웹사이트가 호스팅되므로 대규모 피해 가능
- 데이터 유출: 모든 고객 데이터, 데이터베이스, 이메일 접근 가능
- 악의적 행위 가능: 백도어 설치, 크립토마이너 설치, DDoS 봇넷 참여 등
3.4 악용 증거
실제 악용 증거가 다수 보고되었습니다:
- 로그 분석 결과: 2026년 2월 말부터 의심스러운 로그인 시도 증가
- 피해 사례: Reddit 등 커뮤니티에서 실제 침해 피해 사례 다수 공유
- 보고서: 보안 연구자들은 이 취약점이 "수개월간 악용되었다"고 보고
- CISA 등록: 미국 사이버 보안 및 인프라 보안국(CISA)의 KEV 카탈로그에 등록
4. 영향 평가
4.1 노출된 시스템 규모
- 총 cPanel 인스턴스: 약 150만 개 (Shodan 데이터 기준)
- 영향을 받을 가능성이 있는 시스템: 전체의 80% 이상 추정
- 실제 패치 적용률: 현재 알 수 없음 (추정 20-30% 미만)
4.2 산업별 영향
cPanel & WHM은 전 세계 웹 호스팅 업계에서 가장 널리 사용되는 제어판 솔루션입니다:
- 웹 호스팅 제공자: 소형~대형 호스팅 업체 대다수
- 공유 호스팅: 단일 서버에서 수백~수천 개 사이트 운영
- 관공서/교육기관: 웹사이트 호스팅에 활용
- 금융/의료 기관: 일부 외부 웹사이트 호스팅에 사용
4.3 한국 영향 평가
한국에서도 cPanel & WHM은 상당수의 웹 호스팅 업체에서 사용됩니다:
- 국내 호스팅 업체: 다수 업체가 cPanel 기반 서비스 제공
- 기업 웹사이트: SMB(Small-Medium Business)의 웹사이트 상당수
- 개인/소상공인: 쇼핑몰, 블로그 등
한국인터넷진흥원(KISA)과 같은 기관을 통해 한국 내 구체적인 영향 범위 파악이 필요합니다.
5. 완화 조치
5.1 즉시 조치 (Critical - 24시간 이내)
5.1.1 패치 적용
가장 중요한 조치는 즉시 패치를 적용하는 것입니다.
# cPanel & WHM 업데이트 실행
/usr/local/cpanel/scripts/upcp --force
# 또는 WHM 관리자 인터페이스에서:
# WHM Home > cPanel > Upgrade to Latest Version
패치된 버전:
- cPanel & WHM 11.118.0.4 이상
- WP Squared 관련 패치 (changelog #13617)
5.1.2 영향 여부 확인
시스템이 취약한지 확인하려면 다음 명령을 실행하세요:
# cPanel 버전 확인
/usr/local/cpanel/cpanel -V
# 로그에서 의심스러운 활동 검사
grep -i "cpsess" /usr/local/cpanel/logs/access_log | tail -100
grep -i "do_token_denied" /usr/local/cpanel/logs/error_log | tail -100
또는 watchTowr Labs의 탐지 도구(Detection Artifact Generator)를 사용하세요:
git clone https://github.com/watchtowrlabs/watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py
python watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py --target https://your-cpanel-host:2087/
5.1.3 로그 분석
침해 여부 확인을 위해 다음 로그를 분석하세요:
- 접근 로그:
/usr/local/cpanel/logs/access_log - 오류 로그:
/usr/local/cpanel/logs/error_log - 인증 로그:
/var/log/secure또는/var/log/auth.log
탐지 시그니처:
- 예기치 않은 /cpsess[숫자] 패턴의 접근
- do_token_denied 엔드포인트에 대한 비정상적 호출
- 인증 없이 root 권한으로 실행된 명령어
5.2 단기 조치 (High - 72시간 이내)
5.2.1 네트워크 제어
- IP 제한: cPanel 포트(2083, 2087, 2096 등)를 신뢰할 수 있는 IP로만 제한
- WAF 규칙: 다음 패턴을 차단하는 WAF 규칙 추가
- CRLF 문자(
\r\n)를 포함한 Authorization 헤더 - 비정상적인
no-ob쿠키 값 /cpsess[숫자]패턴의 직접 접근
# Nginx 예시
location ~ ^/cpsess\d+/ {
deny all;
}
# Apache 예시
<Directory "/usr/local/cpanel/base">
RewriteEngine On
RewriteCond %{HTTP_COOKIE} no-ob [NC]
RewriteRule ^/cpsess\d+/ - [F,L]
</Directory>
5.2.2 계정 보안
- 관리자 비밀번호 변경: 모든 관리자 계정의 비밀번호 강력한 암호로 변경
- 2FA 활성화: 가능한 경우 2단계 인증 활성화
- 비활성 계정 정리: 불필요한 계정 삭제 또는 잠금
5.3 장기 조치 (Medium - 1주 이내)
5.3.1 보안 강화
- 최소 권한 원칙: 각 계정에 필요한 최소 권한만 부여
- 정기 업데이트: 보안 패치 정기 적용 (최소 주 1회)
- 모니터링 강화: SIEM 도구를 통한 실시간 로그 모니터링
5.3.2 대응 계획 수립
- 인시던트 대응 계획: 향후 유사 취약점 발생 시 대응 절차 수립
- 백업 확인: 정기 백업의 무결성과 복구 절차 확인
- 교육: 관리자 보안 교육 실시
6. 한국 사용자 대응 가이드라인
6.1 법적/규제적 요구사항
한국에서는 개인정보보호법, 정보통신망법 등에 따라 다음 사항을 준수해야 합니다:
6.1.1 개인정보 유출 시 조치
개인정보가 유출되었거나 유출 가능성이 있는 경우, 개인정보보호법 제39조에 따라 다음 조치가 필요합니다:
- 주관 기관에 신고: 한국인터넷진흥원(KISA) 또는 방송통신위원회
- 정보주체에게 통지: 유출 경위, 유출 항목, 대응 조치 등
- 대응 계획 수립 및 이행
6.1.2 정보통신망법 준수
정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라:
- 보안 관리자 지정: 일정 규모 이상의 사업자는 보안 관리자 지정 의무
- 정기 보안 점검: 연 1회 이상 보안 점검 실시
- 침해 사고 신고: 정보통신서비스 제공자는 해킹 등 침해 사고 발생 시 신고 의무
6.2 한국 호스팅 업체 가이드
6.2.1 즉시 조치 체크리스트
- [ ] cPanel & WHM 패치 적용 (
/scripts/upcp --force) - [ ] 영향 여부 확인 (탐지 도구 실행)
- [ ] 로그 분석 및 침해 여부 확인
- [ ] 고객에게 상황 안내
- [ ] IP 접근 제어 설정
6.2.2 고객 커뮤니케이션
권고 사항 안내 예시:
[긴급] cPanel 보안 취약점에 대한 안내
고객 여러분,
cPanel & WHM의 치명적 보안 취약점(CVE-2026-41940)이
발표되었습니다. 저희 [회사명]은 이미 해당 패치를
적용하였으며, 현재 추가 보안 조치를 취하고 있습니다.
권고 사항:
1. 관리자 비밀번호를 강력한 암호로 변경해 주세요.
2. 불필요한 계정은 삭제하거나 잠가 주세요.
3. 웹사이트 및 데이터베이스의 정기 백업을 확인해 주세요.
문의사항은 고객센터로 연락해 주시기 바랍니다.
6.3 한국 기업 대응 가이드
6.3.1 셀프 체크리스트
기업에서 웹사이트를 운영하는 관리자는 다음을 확인하세요:
- [ ] 웹 호스팅 업체에 패치 적용 여부 문의
- [ ] 관리자 비밀번호 변경
- [ ] 웹사이트 로그 확인 (의심스러운 활동 검사)
- [ ] 2단계 인증 활성화 (가능한 경우)
- [ ] 백업 확인
6.3.2 법적 조치
침해가 확인된 경우:
- KISA 신고: 한국인터넷진흥원 (118)에 신고
- 경찰 신고: 필요시 사이버 수사대에 신고
- 법률 자문: 데이터 유출에 따른 법적 책임 확인
6.4 한국 공공기관 가이드
6.4.1 KISA/KISA 협력
- 보안 권고문 확인: KISA 보안 권고문(CR-2026-XXXX) 참조
- 기술 지원 요청: 필요시 KISA에 기술 지원 요청
6.4.2 행정안전부 지침
행정안전부의 정보보안 관리 지침에 따라:
- 보안 사고 신고: 정보보안 사고 발생 시 즉시 신고
- 대응팀 가동: 정보보안 대응팀(CERT) 가동
- 유관 기관 협조: KISA, 경찰청 등 유관 기관 협조
7. 탐지 및 모니터링
7.1 탐지 시그니처
7.1.1 로그 기반 탐지
# 의심스러운 접근 패턴 탐지
grep -E "cpsess[0-9]+" /usr/local/cpanel/logs/access_log | \
grep -E "(Authorization.*Basic|no-ob)" | \
awk '{print $1, $4, $7, $9}'
# do_token_denied 호출 탐지
grep "do_token_denied" /usr/local/cpanel/logs/error_log
# 비정상적인 세션 생성 탐지
grep -i "session" /usr/local/cpanel/logs/access_log | \
grep -E "HTTP (307|401)" | tail -50
7.1.2 네트워크 기반 탐지
Suricata/Snort 규칙:
alert tcp $EXTERNAL_NET any -> $HOME_NET [2083,2087,2096] (
msg:"CVE-2026-41940: cPanel Authentication Bypass Attempt";
flow:to_server,established;
content:"Authorization: Basic";
content:"no-ob=";
pcre:"/Authorization:.*\r\n/smi";
sid:20260001;
rev:1;
)
7.2 SIEM 통합
SIEM(Splunk, Elastic Stack, QRadar 등)에 다음 필드를 모니터링하세요:
- source_ip: 공격자 IP
- http_method: HTTP 메서드 (GET, POST)
- http_uri: 요청 URI (/cpsess[숫자], do_token_denied)
- http_user_agent: User-Agent (특이한 패턴 탐지)
- http_response_code: 307, 401, 200
7.3 위협 인텔리전스
다음 위협 인텔리전스 소스를 구독하세요:
- CISA KEV Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- NVD: https://nvd.nist.gov/
- VulnCheck: https://www.vulncheck.com/
8. 복구 계획
8.1 침해 확인 시 절차
- 격리: 영향 받은 시스템 즉시 격리
- 증거 보존: 포렌식을 위해 로그 및 시스템 상태 백업
- 근본 원인 분석: 공격 경로 및 피해 범위 확인
- 복구: 백업에서 복원 또는 시스템 재구축
- 보안 강화: 패치 적용 및 추가 보안 조치
- 보고: 유관 기관 및 이해관계자에게 보고
8.2 복구 절차
# 1. 시스템 격리 후 패치 적용
/usr/local/cpanel/scripts/upcp --force
# 2. 모든 계정 비밀번호 변경
whmapi1 modifyacct user=USERNAME password=NEW_PASSWORD
# 3. 의심스러운 파일 제거
find /home/*/public_html -name "*.php" -perm 777
find /home/*/public_html -name "*.cgi" -perm 777
# 4. 웹사이트 무결성 검사
# (백업과 현재 파일 비교)
# 5. 로그 분석
tail -1000 /usr/local/cpanel/logs/access_log | grep "cpsess"
9. FAQ
Q1. 제 시스템이 취약한지 어떻게 알 수 있나요?
A: 다음 명령으로 cPanel 버전을 확인하세요:
/usr/local/cpanel/cpanel -V
버전이 11.118.0.4 미만이면 취약합니다. 또는 watchTowr Labs의 탐지 도구를 실행하세요.
Q2. 패치를 적용하지 않으면 어떻게 되나요?
A: 인증되지 않은 공격자가 시스템의 root 권한을 획득할 수 있습니다. 현재 활발한 악용이 확인되었으므로, 패치를 적용하지 않으면 높은 확률로 침해당할 수 있습니다.
Q3. 이미 침해당했는지 어떻게 알 수 있나요?
A: 로그에서 다음 패턴을 검색하세요:
/cpsess[숫자]형식의 비정상적 접근do_token_denied엔드포인트 호출- 인증 없이 실행된 관리자 명령어
또한 보안 전문가의 포렌식 분석을 권장합니다.
Q4. 한국에서 어떤 법적 조치가 필요한가요?
A: 개인정보가 유출된 경우, 개인정보보호법 제39조에 따라 KISA에 신고하고 정보주체에게 통지해야 합니다. 정보통신서비스 제공자는 정보통신망법에 따라 침해 사고를 신고할 의무가 있습니다.
Q5. 패치 후에도 추가 조치가 필요한가요?
A: 네, 패치 적용 후에도 다음 조치가 권장됩니다:
- 모든 계정 비밀번호 변경
- IP 접근 제어 설정
- 로그 분석 및 모니터링 강화
- WAF 규칙 추가
10. 참고자료
10.1 공식 자료
- cPanel 보안 업데이트: https://support.cpanel.net/hc/en-us/articles/40073787579671-cPanel-WHM-Security-Update-04-28-2026
- cPanel 릴리스 노트: https://docs.cpanel.net/release-notes/release-notes
- NVD CVE 상세: https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- CISA KEV Catalog: https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-41940
10.2 기술 분석
- watchTowr Labs PoC: https://github.com/watchtowrlabs/watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py
- VulnCheck 어드바이저리: https://www.vulncheck.com/advisories/cpanel-and-whm-authentication-bypass-via-login-flow
- WP Squared 릴리스 노트: https://docs.wpsquared.com/changelogs/versions/changelog/#13617
10.3 한국 자료
- KISA 보안 권고문: (예정) https://www.kisa.or.kr/
- 개인정보보호위원회: https://www.pipc.go.kr/
- 방송통신위원회: https://www.kcc.go.kr/
10.4 커뮤니티 논의
- Reddit - r/sysadmin: https://www.reddit.com/r/sysadmin/comments/1t0l3xr/cve202641940_cpanelwhm_cvss_98_auth_bypass_was_a/
- Reddit - r/cpanel: https://www.reddit.com/r/cpanel/
11. 부록: 위협 레벨별 대응 우선순위
| 위협 레벨 | 즉시 대응 (24시간) | 단기 대응 (72시간) | 장기 대응 (1주) |
|---|---|---|---|
| Critical | 패치 적용, 로그 분석, 시스템 격리 | IP 제어, 비밀번호 변경, WAF 설정 | SIEM 통합, 정기 업데이트 |
| High | 패치 적용, 로그 분석 | IP 제어, 비밀번호 변경 | 정기 점검, 교육 |
| Medium | 패치 계획 수립 | 패치 적용 | 정기 점검 |
| Low | 패치 계획 수립 | 패치 적용 (다음 유지보수 시기) | 정기 점검 |
CVE-2026-41940은 Critical 레벨로, 즉시 대응이 필요합니다.
12. 결론
CVE-2026-41940은 cPanel & WHM의 역사상 가장 심각한 취약점 중 하나입니다. 2개월간 제로데이로 악용되었고, 150만 개 이상의 시스템이 위험에 노출되어 있습니다.
핵심 행동 요약:
- ✅ 즉시 패치 적용:
/scripts/upcp --force - ✅ 로그 분석: 침해 여부 확인
- ✅ 비밀번호 변경: 모든 관리자 계정
- ✅ 고객 안내: 투명한 상황 공유
- ✅ 모니터링 강화: 지속적인 보안 감시
시간이 지체될수록 피해는 커집니다. 지금 즉시 조치하세요.
본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.