사이버 보안

40,000대 서버가 활성 cPanel CVE-2026-41940 익스플로잇에 피해를 입다

2026년 5월 4일4분 읽기

By 사라 첸 — CEH 인증, 침투 테스트 및 네트워크 보안 경력

40,000대 서버가 활성 cPanel CVE-2026-41940 익스플로잇에 피해를 입다

활성 cPanel 익스플로잇으로 40,000대 이상의 서버 침해

cPanel 및 WebHost Manager(WHM)의 심각한 인증 우회 취약점이 활발하게 악용되고 있으며, 피해 규모가 상당합니다. Shadowserver Foundation은 4만 대 이상의 서버가 침해되었을 것으로 추정하고 있으며, 미국 사이버보안 및 인프라 보안국(CISA)은 CVE-2026-41940으로 추적되는 이 결함을 알려진 악용 취약점(KEV) 카탈로그에 추가했습니다. 해당 기관은 영향을 받는 모든 관리자에게 즉시 패치를 적용할 것을 촉구하고 있습니다.

cPanel은 전 세계에서 가장 널리 사용되는 웹 호스팅 제어판 중 하나로, 공유 호스팅, VPS 및 전용 호스팅 환경에 걸쳐 수백만 개의 웹사이트를 지원합니다. 바로 이러한 광범위한 보급이 이 취약점을 매우 심각하게 만드는 이유입니다.

CVE-2026-41940이란 무엇이며, 왜 중요한가?

CVE-2026-41940은 인증 우회 결함으로, 공격자가 유효한 자격 증명 없이 cPanel 또는 WHM 관리 기능에 접근할 수 있음을 의미합니다. 실질적으로 이는 위협 행위자가 호스팅된 웹사이트를 조작하고, 저장된 데이터에 접근하며, 서버 구성을 변경하고, 악성 코드를 삽입하고, 단일 서버에 여러 웹사이트가 공존하는 공유 호스팅 환경에서 측면 이동을 수행할 수 있는 능력을 부여합니다.

이 취약점은 심각으로 분류되며, 이는 악용의 용이성과 부여되는 접근 수준 모두를 반영합니다. 공격자가 cPanel 환경에 대한 관리 제어권을 확보하면, 그 이후의 영향은 서버 자체를 훨씬 넘어 확산될 수 있습니다. 침해된 서버에 호스팅된 웹사이트를 방문하는 방문자들은 눈에 띄는 경고 없이 악성 소프트웨어, 피싱 페이지, 또는 자격 증명 수집 스크립트에 노출될 수 있습니다.

CISA가 이 결함을 KEV 카탈로그에 추가한 것은 악용이 이론적인 수준이 아님을 강력히 시사합니다. 지금 이 순간, 대규모로 발생하고 있습니다.

일반 인터넷 사용자에게 숨겨진 위험

이 소식을 접하는 대부분의 사람들은 이것이 호스팅 회사와 웹사이트 관리자에게만 영향을 미친다고 가정할 것입니다. 그러한 가정은 더 넓은 관점을 놓치는 것입니다. 호스팅 서버가 침해되면, 해당 인프라에서 운영되는 모든 웹사이트가 잠재적인 공격 경로가 됩니다.

소규모 기업, 개인 웹사이트 및 초기 단계의 스타트업에서 흔히 사용되는 공유 호스팅 환경은 단일 서버에 수십 개 또는 수백 개의 웹사이트를 배치하는 경우가 많습니다. 해당 서버가 취약한 버전의 cPanel을 실행하며 패치가 적용되지 않은 경우, 단 한 번의 익스플로잇 이벤트가 해당 사이트 전체에 동시에 영향을 미칠 수 있습니다.

그 웹사이트를 방문하는 사용자는 드라이브바이 악성 소프트웨어 다운로드, 자격 증명 탈취를 위해 설계된 가짜 로그인 페이지, 세션 하이재킹, 중간자 방식의 콘텐츠 조작 등의 위험에 직면할 수 있습니다. 침해된 서버는 브라우저에서 완전히 정상적으로 보이는 상태에서 악성 콘텐츠를 제공할 수 있습니다.

이것은 먼 미래의 이야기나 가능성이 낮은 시나리오가 아닙니다. 이미 4만 대의 서버가 영향을 받은 것으로 추정되는 상황에서, 일상적인 웹 트래픽의 상당 부분이 지금 이 순간 침해된 인프라와 접촉하고 있을 가능성이 높습니다.

여러분이 해야 할 일

cPanel 기반 호스팅에서 웹사이트를 운영하고 있다면, 즉각적인 우선순위는 명확합니다. 호스팅 제공업체가 CVE-2026-41940을 패치했는지 확인하고, 지체 없이 사용 가능한 업데이트를 적용하십시오. 노출 여부가 불확실한 경우 호스팅 업체에 직접 문의하십시오.

서버를 관리하지 않는 일반 사용자의 경우, 상황은 다른 종류의 주의를 요구합니다. 취할 만한 몇 가지 실질적인 조치가 있습니다:

브라우저 보안 기능을 활성화 상태로 유지하십시오. 대부분의 최신 브라우저에는 알려진 악성 사이트를 표시하는 안전 브라우징 보호 기능이 포함되어 있습니다. 이 기능이 켜져 있는지 확인하십시오.
로그인 자격 증명에 주의하십시오. 익숙한 웹사이트에서 로그인 페이지 레이아웃이 약간 다르거나 예상치 못한 인증서 경고가 나타나는 등 이상한 점을 발견하면 진행하지 마십시오.
위협 필터링 기능이 있는 신뢰할 수 있는 DNS 리졸버를 사용하십시오. 일부 DNS 서비스는 브라우저가 페이지를 로드하기 전에 알려진 악성 도메인을 차단합니다.
공공 또는 신뢰할 수 없는 네트워크 사용 시 VPN을 고려하십시오. VPN은 기기와 VPN 서버 간의 트래픽을 암호화하여, 특히 공격자가 약화된 서버 구성을 악용할 수 있는 공공 Wi-Fi에서 네트워크 수준의 가로채기 위험을 줄입니다.
정기적으로 이용하는 사이트와 연결된 계정을 모니터링하십시오. 이용 중인 웹사이트가 침해된 호스팅에서 운영되고 있다면, 해당 사이트를 통해 저장되거나 전송된 자격 증명이 위험에 처할 수 있습니다.

호스팅 제공업체 및 시스템 관리자를 위한 CISA의 지침은 명확합니다. 즉시 패치를 적용하고, 무단 활동 징후를 파악하기 위해 접근 로그를 감사하며, 익스플로잇 기간 중 변경되었을 수 있는 모든 구성을 검토하십시오.

cPanel CVE-2026-41940 익스플로잇 캠페인은 웹 인프라의 근간이 되는 취약점이 서버 자체를 훨씬 넘어서는 파급 효과를 일으킨다는 사실을 상기시켜 줍니다. 정보를 파악하고 기본적인 보호 조치를 취하는 것이 모든 수준의 기술적 경험을 가진 사용자에게 가장 현실적인 대응입니다.

// FAQ

CVE-2026-41940이란 무엇인가요?

CVE-2026-41940은 cPanel 및 WebHost Manager(WHM)의 심각한 인증 우회 취약점으로, 공격자가 유효한 자격 증명 없이 관리자 접근 권한을 획득할 수 있게 합니다. 이를 통해 위협 행위자는 웹사이트를 조작하고, 데이터에 접근하며, 서버 구성을 변경하고, 악성 코드를 삽입할 수 있습니다.

이 취약점으로 몇 대의 서버가 침해되었나요?

Shadowserver Foundation은 CVE-2026-41940의 활성 악용으로 4만 대 이상의 서버가 침해되었을 것으로 추정합니다.

공식 사이버보안 기관이 이 취약점에 대응했나요?

네, CISA는 CVE-2026-41940을 알려진 악용 취약점 카탈로그에 추가하고, 영향을 받는 모든 관리자에게 즉시 패치를 적용할 것을 촉구하고 있습니다.

공유 호스팅 환경이 특히 위험한 이유는 무엇인가요?

공유 호스팅 환경은 단일 서버에 수십 개 또는 수백 개의 웹사이트를 배치하는 경우가 많아, 취약한 cPanel 서버에서 단 한 번의 익스플로잇 이벤트가 해당 사이트 전체를 동시에 침해할 수 있습니다.

일반 인터넷 사용자는 이 취약점으로 어떤 영향을 받을 수 있나요?

침해된 서버에 호스팅된 웹사이트를 방문하는 사용자는 드라이브바이 악성 소프트웨어 다운로드, 가짜 로그인 페이지, 세션 하이재킹, 악성 콘텐츠 조작에 노출될 수 있으며, 대부분의 경우 브라우저에서 눈에 띄는 경고 없이 발생합니다.