
2026년 4월 말, cPanel & WHM에 영향을 미치는 치명적인 인증 우회 취약점 CVE-2026-41940이 공개되었다. 해당 취약점은 CVSS 9.8(Critical)로 평가되었으며, 인증되지 않은 원격 공격자가 cPanel 및 WHM 관리 인터페이스에 무단 접근할 수 있는 구조적 결함을 포함하고 있다. 특히 이 취약점은 공개 직후 단순한 취약점 정보에 머무르지 않고, 실제 공격에 빠르게 악용되며 백도어 설치, 자격 증명 탈취, 웹셸 배포, 봇넷 전파, 랜섬웨어 공격 등 다양한 후속 행위로 이어지고 있다.
cPanel과 WHM은 웹호스팅 환경에서 웹사이트, 계정, 도메인, 데이터베이스, 메일, 서버 설정을 관리하는 핵심 관리 패널이다. 따라서 이 취약점이 악용될 경우 단일 웹 애플리케이션 침해에 그치지 않고, 해당 서버가 관리하는 다수의 웹사이트와 데이터베이스, 호스팅 계정 전체가 공격자의 통제 아래 놓일 수 있다. 실제로 CVE-2026-41940은 CISA Known Exploited Vulnerabilities(KEV) 카탈로그에 추가되었으며, 적극적인 조치가 필요한 취약점으로 분류되었다.
본 글에서는 CVE-2026-41940의 기술적 원인과 실제 공격 흐름을 분석하고, Criminal IP를 활용해 외부에 노출된 cPanel/WHM 관리 인터페이스가 왜 즉각적인 공격 표면이 되는지 살펴본다.
CVE-2026-41940 취약점 개요

| 항목 | 내용 |
|---|---|
| 취약점 ID | CVE-2026-41940 |
| 영향 제품 | cPanel & WHM, WP Squared |
| 취약점 유형 | CRLF 주입을 통한 인증 우회 |
| CVSS 점수 | 9.8 (Critical) |
| 영향 범위 | 인증 우회, 관리자 권한 획득, 서버 설정 및 데이터베이스 접근 가능 |
| 악용 현황 | 실제 공격에 악용 중, CISA KEV 등재 |
공식 보안 권고에 따르면 cPanel & WHM 11.40 이후 버전이 영향을 받으며, 여러 지원 버전에 대해 패치가 제공되었다. 또한 WP Squared의 특정 버전도 영향 범위에 포함된다. 패치된 버전은 다음과 같다.
- 11.86.0.41 이상
- 11.94.0.28 이상
- 11.102.0.39 이상
- 11.110.0.97 이상
- 11.118.0.63 이상
- 11.124.0.35 이상
- 11.126.0.54 이상
- 11.130.0.19 이상
- 11.132.0.29 이상
- 11.134.0.20 이상
- 11.136.0.5 이상
실제 공격 흐름: 인증 우회에서 백도어 설치까지

CVE-2026-41940의 위험성은 취약점 자체의 심각도뿐만 아니라, 실제 공격 흐름이 이미 자동화되고 있다는 점에서 더욱 커진다. 공개 자료에 따르면 공격자들은 취약한 cPanel/WHM 인스턴스를 대상으로 대규모 스캐닝을 수행한 뒤, 인증 우회를 통해 관리 권한을 확보하고, 이후 악성 스크립트와 백도어를 배포하는 방식으로 공격을 전개하고 있다.
공격 흐름은 다음과 같이 요약할 수 있다.
- 외부에 노출된 cPanel/WHM 관리 인터페이스 식별
- 인증 우회 취약점을 악용해 관리자 수준의 세션 확보
- 서버 내부에 SSH 공개키 또는 웹셸 삽입
- 파일 업로드·다운로드, 원격 명령 실행 기능 확보
- 로그인 페이지 변조 또는 스크립트 삽입을 통한 자격 증명 탈취
- 백도어 배포 및 지속성 확보
- 추가 웹사이트, 데이터베이스, 계정 정보로 공격 범위 확장
특히 일부 공격에서는 감염된 서버에서 bash history, SSH 관련 데이터, 장비 정보, 데이터베이스 비밀번호, cPanel 가상 alias 정보 등이 수집된 것으로 보고되었다. 이는 공격자가 단순히 관리 패널 접근에 머무르지 않고, 서버 내부의 운영 정보와 인증 정보를 수집해 추가 침해나 측면 이동에 활용할 수 있음을 보여준다. cPanel/WHM은 하나의 서버에서 여러 웹사이트와 계정을 관리하는 경우가 많다. 따라서 공격자가 WHM 권한을 확보하면 단일 호스팅 계정이 아니라 서버 전체의 설정, 웹 루트, 데이터베이스, 인증 정보에 접근할 수 있다. 이 때문에 CVE-2026-41940은 일반적인 웹 취약점보다 더 넓은 침해 반경을 가진다.
Criminal IP를 통해 관측 가능한 외부 노출 cPanel 자산
인터넷에 노출된 cPanel/WHM 인스턴스의 실태를 확인하기 위해, Criminal IP Asset Search에서 cPanel 서비스 특성을 반영한 검색 조건을 활용할 수 있다.

Criminal IP 검색 쿼리: title: cPanel
cPanel 웹 인터페이스는 로그인 페이지 타이틀에 서비스명을 그대로 노출하는 특성이 있어, HTML 타이틀 기반 검색만으로도 외부에서 접근 가능한 cPanel 인스턴스를 직접 탐지할 수 있다. 이 쿼리는 포트 조건을 별도로 지정하지 않고, cPanel 관련 웹 인터페이스가 외부에서 식별 가능한 자산을 폭넓게 확인하는 데 활용된다. Criminal IP Asset Search를 통해 총 2,954개의 자산이 확인되었다.
이후 쿼리를 세분화해 cPanel 사용자 인터페이스와 WHM 관리자 인터페이스의 외부 노출 여부를 추가로 분석했다.

위 쿼리를 통해 관련 자산을 더욱 상세하게 분석하였다. 해당 쿼리는 cPanel의 기본 HTTPS 접속 포트인 2083번 포트에서 cPanel 웹 인터페이스가 노출된 자산을 확인하기 위한 조건이다. 2083 포트는 일반적으로 사용자가 cPanel 계정에 접속하는 관리 포트로 활용되기 때문에, 해당 포트가 외부에 열려 있고 cPanel 타이틀이 함께 식별되는 경우 실제 cPanel 관리 인터페이스가 인터넷에서 접근 가능한 상태일 가능성이 높다. 총 147개의 인스턴스가 확인되었으며, 해당 자산들은 CVE-2026-41940과 관련해 우선 점검이 필요한 고위험 노출 자산으로 평가할 수 있다.

Criminal IP 검색 쿼리: title: WHM AND port: 2087
WHM(Web Host Manager)은 호스팅 서버 전체를 root 수준에서 관리하는 인터페이스로, 기본 포트 2087을 사용한다. CVE-2026-41940 공격의 최종 목표가 바로 이 WHM root 세션 획득이며, title: WHM AND port: 2087 쿼리로 탐지되는 자산은 관리 인터페이스와 서비스 포트가 동시에 인터넷에 노출된 가장 높은 위험도를 가진 자산군으로 평가할 수 있다. WHM root 권한은 해당 서버에서 운영되는 모든 사이트·데이터베이스·이메일 계정 전체에 대한 완전한 제어권을 의미하므로, 이 쿼리 결과에 포함된 자산은 단일 서버 침해가 수십~수백 개 사이트의 동시 오염으로 이어지는 매우 넓은 침해 반경을 가진다.
이러한 검색 결과는 cPanel/WHM이 웹호스팅 운영 편의성을 위해 널리 사용되는 동시에, 관리 인터페이스가 인터넷에 직접 노출될 경우 공격자가 쉽게 식별할 수 있는 공격 표면이 될 수 있음을 보여준다. 특히 CVE-2026-41940처럼 인증 우회 이후 관리자 권한 획득으로 이어질 수 있는 취약점에서는, 패치 여부뿐 아니라 관리 포트가 외부에서 접근 가능한 상태인지 함께 확인하는 것이 중요하다.
패치 현황 및 대응 방안
공식 보안 권고에 따르면 CVE-2026-41940은 여러 cPanel & WHM 버전에 대해 패치가 제공되었으며, 관리자는 즉시 패치 버전으로 업데이트하고 cPanel 서비스 데몬을 재시작해야 한다. 또한 공식 탐지 스크립트를 활용해 알려진 침해 지표를 점검하는 것이 권장된다.
우선적으로 수행해야 할 대응 조치는 다음과 같다.
1. cPanel & WHM 최신 패치 적용
영향받는 cPanel & WHM 환경은 패치가 제공된 버전으로 즉시 업데이트해야 한다. 단순히 자동 업데이트 여부만 확인하지 말고, 실제 빌드 버전이 패치 버전에 도달했는지 확인해야 한다.
2. cpsrvd 재시작 및 서비스 상태 확인
패치 적용 후에는 cPanel 서비스 데몬이 정상적으로 재시작되었는지 확인해야 한다. 서비스가 이전 상태로 유지되거나 일부 프로세스가 갱신되지 않은 경우, 패치 적용 효과가 제한될 수 있다.
3. 관리 포트 외부 접근 제한
cPanel/WHM 관리 포트는 가능한 한 공용 인터넷에서 직접 접근되지 않도록 제한해야 한다. 특히 다음 포트에 대한 접근 정책을 우선 점검해야 한다.
- 2083: cPanel HTTPS
- 2087: WHM HTTPS
- 2095: Webmail HTTP
- 2096: Webmail HTTPS
관리자 접근은 VPN, 허용된 IP 대역, 제로 트러스트 접근 제어, 방화벽 정책 등을 통해 제한하는 것이 바람직하다.
4. 침해 흔적 점검
이미 공격이 발생했을 가능성을 배제해서는 안 된다. 다음 항목을 중심으로 점검이 필요하다.
- 비정상적인 WHM 로그인 기록
- 세션 파일 이상 여부
- 알 수 없는 SSH 공개키 추가 여부
- 웹 루트 내 PHP 웹셸 또는 의심 파일 존재 여부
- 로그인 페이지 또는 JavaScript 코드 변조 여부
- 신규 관리자 계정 생성 여부
- cron, systemd, init 스크립트 내 지속성 설정 여부
- 데이터베이스 비밀번호 및 API 키 유출 가능성
5. 자격 증명 및 키 재설정
패치 이전에 침해가 발생했다면, 비밀번호와 API 키가 이미 탈취되었을 수 있다. 따라서 cPanel/WHM 관리자 계정, SSH 키, 데이터베이스 계정, 웹 애플리케이션 비밀키, 메일 계정 비밀번호 등을 재설정해야 한다.
6. 외부 노출 재검증
패치와 내부 점검 이후에도 외부에서 해당 관리 인터페이스가 계속 식별되는지 확인해야 한다. Criminal IP ASM과 같은 공격 표면 관리 도구를 통해 조직 도메인, IP 대역, 호스팅 인프라에서 cPanel/WHM 관련 서비스가 계속 노출되어 있는지 주기적으로 검증해야 한다.
FAQ
Q1. CVE-2026-41940은 왜 특히 위험한가요?
CVE-2026-41940은 인증되지 않은 원격 공격자가 cPanel/WHM 관리 인터페이스에 무단 접근할 수 있는 인증 우회 취약점입니다. 일반적인 취약점과 달리, 공격자가 관리자 계정을 미리 확보하지 않아도 외부에 노출된 취약 서비스에 접근할 수 있다면 공격 시도가 가능하다는 점에서 위험성이 큽니다. 또한 cPanel/WHM은 단일 웹사이트가 아니라 서버와 다수의 호스팅 계정을 관리하는 제어 계층이기에 공격자가 WHM 권한을 확보하면 웹사이트 파일, 데이터베이스, 계정 설정, 메일, 도메인, 서버 구성까지 영향을 받을 수 있습니다. 따라서 이 취약점은 단일 애플리케이션 침해가 아니라 호스팅 서버 전체 침해로 이어질 수 있습니다.
Q2. 패치만 적용하면 충분한가요?
패치 적용은 필수지만, 그것만으로 충분하다고 보기는 어렵습니다. CVE-2026-41940은 이미 실제 공격에 악용되었으며, 일부 공격 흐름에서는 웹셸, SSH 키, 백도어, 자격 증명 탈취가 함께 관측되었습니다. 따라서 패치 이전에 공격자가 이미 접근 권한을 확보했다면, 취약점이 수정된 이후에도 별도의 지속성 수단을 통해 재접근할 수 있습니다. 이 때문에 패치와 함께 침해 흔적 점검, 의심 파일 제거, 계정 및 키 회전, 로그 분석, 외부 노출 관리가 함께 수행되어야 합니다. 특히 cPanel/WHM 관리 포트가 계속 인터넷에 노출되어 있다면, 향후 유사한 취약점이 공개될 때 다시 고위험 자산이 될 수 있습니다.
결론
CVE-2026-41940은 cPanel/WHM과 같은 호스팅 관리 패널이 외부에 노출되었을 때 얼마나 빠르게 대규모 침해로 이어질 수 있는지를 보여주는 사례다. 이 취약점은 인증 우회 자체도 치명적이지만, 그보다 더 중요한 문제는 공격자가 인터넷에 노출된 관리 인터페이스를 자동으로 식별하고, 취약점 악용 이후 서버 전체를 장악할 수 있다는 점이다. 패치 적용은 가장 기본적인 대응이다. 그러나 이미 공격이 진행된 환경에서는 패치만으로 백도어, 탈취된 자격 증명, 변조된 로그인 페이지, 추가 악성 파일을 제거할 수 없다. 따라서 조직은 패치와 함께 외부 노출 자산 식별, 관리 포트 접근 제한, 침해 흔적 점검, 자격 증명 회전, 지속적인 ASM 기반 검증을 병행해야 한다.
관련하여 CVE-2026-3854: git push 한 번으로 노출되는 GitHub RCE 취약점 글을 참고할 수 있다.
Criminal IP (criminalip.io/ko/register) 에 가입하면 즉시 취약 자산 탐지를 시작할 수 있습니다. 또한 아래 버튼을 통해 데모를 요청하고, 엔터프라이즈 환경에서 외부에 노출된 자산을 대상으로 한 Criminal IP의 위협 인텔리전스(TI) 분석을 직접 확인해 보세요.

이 리포트는 AI기반 사이버 위협 인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
출처: Criminal IP(https://www.criminalip.io/ko), SECURITYWEEK (https://www.securityweek.com/over-40000-servers-compromised-in-ongoing-cpanel-exploitation/), HELPNET SECURITY (https://www.helpnetsecurity.com/2026/04/30/cpanel-zero-day-vulnerability-cve-2026-41940-exploited/), TheHackerNews (https://thehackernews.com/2026/05/cpanel-cve-2026-41940-under-active.html)
