cpanel 서버 4만4천대 피해, 새로운 취약점 3개 추가 발견...연쇄 보안 사고로 호스팅 관리자 긴급 패치 필요

[한국정보기술신문] 웹호스팅 관리 소프트웨어인 cpanel이 심각한 보안 사고를 겪고 있다. 지난 4월 28일 공개된 CVE-2026-41940 인증 우회 취약점이 약 2개월간 악용되며 4만4천대 이상의 서버가 피해를 입었다. 이 취약점은 CVSS 점수 9.8의 치명적 수준으로 평가된다. 공격자들은 이 취약점을 통해 관리자 권한을 획득한 후 Sorry라는 Go 기반 리눅스 랜섬웨어를 배포했다.

더욱 우려스러운 점은 5월 8일 추가 취약점 3개가 드러났다는 사실이다. cpanel은 사고 이후 코드 감시 중 새로운 보안 결함을 발견해 동시에 패치했다.

CVE-2026-29201은 입력 검증 부족으로 인한 파일 열람 취약점이다. 인증된 공격자가 제한된 설정 파일과 자격증명에 접근할 수 있게 한다. CVSS 점수는 4.3으로 평가됐다.

CVE-2026-29202는 더 심각하다. create_user API를 통한 임의 Perl 코드 실행을 허용한다. 계정 소유자가 시스템 수준 명령을 실행할 수 있어 공유 호스팅 환경 전체가 위험에 빠진다. CVSS 점수는 8.8이다.

CVE-2026-29203은 안전하지 않은 심볼릭 링크 처리로 인한 취약점이다. 민감한 파일의 권한을 변경해 권한 상승 공격이 가능하다. 마찬가지로 CVSS 8.8로 평가됐다.

모든 cpanel 관리자는 즉시 /scripts/upcp 명령으로 패치를 적용해야 한다. 설치 확인은 /usr/local/cpanel/cpanel -V로 진행하면 된다.

잠재적으로 감염된 시스템은 2월 23일 이후의 로그를 검토하고 .sorry 파일 확장자를 스캔해야 한다. 이번 사건은 호스팅 업체와 관리자들에게 정기적인 보안 감시와 빠른 패치 적용의 중요성을 다시 한 번 상기시켜준다.