늘 듣던 서버실의 무심한 웅웅거림 속, 관리자용 잠금 장치에 디지털 만능 열쇠가 끼워지고 있었다. 여기서 말하는 cPanel & WHM은 웹 호스팅 업계의 상당 부분을 차지하는 ‘일꾼’ 같은 컨트롤 패널이다. 그런데 이게, 맙소사, 거대한 구멍을 품고 있었다니.
CVE-2026-41940. 무슨 B급 SF 영화 제목 같지 않나? 하지만 이건 픽션이 아니다. CVSS 점수 9.8점이라는 끔찍하게 높은 점수를 받은 치명적인 취약점이다. 이게 무슨 뜻이냐고? 공격자들이 당신의 로그인 창을 그냥 통과해서, 서버와 데이터베이스, 그리고 당신이 안전하다고 믿었던 모든 웹사이트를 마음대로 주무를 수 있다는 얘기다.
솔직히 말해, 이 바닥에서 꽤 오래 구르다 보면 ‘헛소리’ 냄새를 기가 막히게 맡는데, cPanel 측에서 이걸 ‘세션 로딩 및 저장 문제’라고 뭉뚱그린 초기 공지에서는 뭔가 수상한 냄새가 풀풀 난다. 이건 그냥 수도꼭지에서 물 새는 정도가 아니다. 이건 집 전체 배관이 통째로 뽑혀 나가는 수준이라고.
이 사태의 피해자는 cPanel & WHM 자체와 WP Squared다.
재앙의 해부학
그렇다면 이 ‘디지털 뒷통수’는 어떻게 맞게 된 걸까? 결국 신뢰가 무너진 고전적인 사례다. 특히 cPanel이 세션 파일을 처리하는 방식에 문제가 있었다. 당신이 비밀번호를 입력하기도 전에, cpsrvd 서비스 — cPanel 데몬이라고 알아두면 된다 — 가 새로운 세션 파일을 쓴다. 여기서 보안 업체 watchTowr (그들의 냉소적인 마음씨에 감사해야 할지)가 이미 PoC(개념 증명)를 공개했는데, 핵심은 캐리지 리턴 라인 피드(CRLF) 주입이라는 거다. 공격자는 조작된 whostmgrsession 쿠키를 보낼 수 있다. 예상되는 세그먼트 구분을 무시하고 일반적인 암호화 절차를 건너뛰면서, 기본 인증 헤더에 바로 문자를 주입하는 방식이다. 시스템은 순진하게도 이 잘못된 데이터를 아무런 의심 없이 세션 파일에 써버린다. 짠! user=root 같은 임의의 속성이 삽입된다. 그리고 세션을 다시 로드하도록 살짝 유도하면, 공격자는 순식간에 관리자 권한을 획득하는 거다.
이건 ‘마음대로 가져가세요’라고 쓰인 팻말과 함께 현관문이 활짝 열려 있는 것과 다름없다. 그리고 벌써 몇몇 ‘현명한’ 사람들은 이걸 이용하고 있다는 소문이 파다하다. 심지어 이 문제가 공개되기 훨씬 전인 2026년 2월 23일부터 제로데이 공격이 있었다는 증언까지 나온다.
누가 실제로 돈을 벌고 있는가?
이게 바로 백만 달러짜리 질문 아니겠나. 이런 심각한 취약점이 터질 때마다 연쇄 반응이 일어난다. 첫째, 당연히 신이 난 공격자들이다. 불법적인 접근, 데이터 탈취, 웹사이트 변조, 또는 추가 악성 활동을 위한 좀비 서버로 활용 등등. 둘째, 자신들의 실력을 뽐내고 더 많은 서비스를 팔 수 있는 watchTowr 같은 보안 업체들이다. 그리고 패치 솔루션이나 취약점 스캐너를 제공하는 회사들도 빼놓을 수 없다. 이런 도구들은 갑자기 엄청나게, 정말 엄청나게 인기를 얻게 될 것이다. Shodan 검색만 해도 공개 인터넷에 약 150만 개의 cPanel 인스턴스가 돌아다니고 있는데, 이건 익스플로잇 코드를 가진 사람들에게는 그야말로 뷔페나 마찬가지다.
하지만 일반적인 웹사이트 소유자나 관리자에게 이득은 제로다. 그렇다면 비용은? 잠재적으로 모든 것을 잃을 수도 있다. 서비스 중단, 데이터 손실, 명예 실추 — 이 모든 것이 쌓여간다. 결국 정화와 피해 복구를 위한 청구서는 누가 내고 있을까? 바로 당신이다.
이건 또 다른 임시방편인가? 취약점의 장기전
기술적인 디테일은 흥미롭지만, 더 큰 그림은 무엇인가? 이건 단순히 역사책에 기록될 CVE가 아니다. 이건 ‘증상’이다. 이렇게 심각한 결함들이 가속화되는 속도는 솔직히 충격적이다. 더 정교해지는 공격 기법과 발견과 광범위한 악용 사이의 시간 간격이 점점 줄어들고 있다. CVE-2026-41940 사태는 가장 널리 배포되는 소프트웨어조차 예외는 아니라는 것을 냉정하게 상기시킨다. 벤더들이 안전한 코드를 제공해야 하는 압박은 엄청나고, 사용자들에게 즉시 패치해야 하는 압박은 그보다 더 크다.
이건 끊임없는 군비 경쟁이다. 공격자들은 침입 경로를 찾고, 벤더들은 패치하느라 허둥대고, 사용자들은 중간에 끼어 그저 자신이 다음 헤드라인의 주인공이 되지 않기를 바랄 뿐이다. 진짜 문제는 cPanel 같은 벤더들이 개발 수명 주기를 근본적으로 재검토하고 있는지, 아니면 단순히 보안 패치로 ‘두더지 잡기’ 게임을 하고 있는지다. 이 심각성과 활발한 악용 사례를 보면, 단순히 사후 대응책 이상이길 바랄 뿐이다.
완화 조치: 읽기 중단, 지금 당장 패치 시작
만약 당신이 cPanel & WHM 또는 WP Squared를 사용하고 있다면, 당신은 더 이상 안전하지 않다. 조언은 간단하고, 직설적이며, 긴급하다: 즉시 수정된 버전으로 업그레이드하라. 가능하다면 포트 차단 같은 임시방편은 잊어라. 그건 총상에 반창고 붙이는 것과 같다. 패치가 유일한 해결책이다.
영향을 받는 버전은 11.40 이후 거의 모든 버전이다. 수정된 버전은 명시되어 있으며, 다양한 릴리스 라인에 걸쳐 있으니 당신이 사용 중인 특정 브랜치를 확인해야 한다.
- cPanel & WHM 11.86.0 이전 버전: 11.86.0.41
- cPanel & WHM 11.110.0 이전 버전: 11.110.0.97
- cPanel & WHM 11.118.0 이전 버전: 11.118.0.63
- cPanel & WHM 11.126.0 이전 버전: 11.126.0.54
- cPanel & WHM 11.130.0 이전 버전: 11.130.0.19
- cPanel & WHM 11.132.0 이전 버전: 11.132.0.29
- cPanel & WHM 11.134.0 이전 버전: 11.134.0.20
- cPanel & WHM 11.136.0 이전 버전: 11.136.0.5
- WP Squared 이전 버전: 136.1.7
진심으로, 벤더 공지를 확인하라. 당신의 모든 웹사이트가 변조된 광고판이 될 때까지 기다리는 사람이 되지 말자.
보안 도구 업계에서는 Rapid7이 4월 30일에 노출 명령(Exposure Command), InsightVM, Nexpose 고객을 위한 인증된 취약점 검사를 출시했다고 밝혔다. 그러니까, 만약 당신이 이런 서비스를 이용 중이라면, 적어도 자동화된 정보를 얻을 수는 있을 거다.
🧬 관련 인사이트
자주 묻는 질문
CVE-2026-41940은 어떤 기능을 하나요? CVE-2026-41940은 cPanel & WHM의 인증 우회 취약점으로, 인증되지 않은 원격 공격자가 영향을 받는 시스템에 대한 관리자 접근 권한을 얻을 수 있게 합니다.
제 cPanel 서버가 취약한가요? 만약 완화 조치 안내에 명시된 특정 패치 버전 이전의 cPanel & WHM 또는 WP Squared 버전을 사용 중이라면, 서버는 취약할 가능성이 높습니다. 실제 공격이 확인되었습니다.
cPanel을 사용 중인데 어떻게 해야 하나요? 즉시 cPanel & WHM 또는 WP Squared 설치를 수정된 버전으로 업데이트하십시오. 지체하지 마세요. 이 취약점은 현재 활발히 악용되고 있습니다.
