보안 연구원들이 경보를 울리고 있다 - 재미있는 파티용 종이 아니라 - cPanel과 WebHost Manager(WHM)에서 갓 발견된 취약점 때문에. 이 웹 서버 관리 소프트웨어는 대략 수십억 개의 웹사이트(음, 수천만 개)를 구동한다. 공식적으로 CVE-2026-41940으로 추적되는 이 버그는 해커들이 로그인 화면을 그냥 지나쳐 영향을 받는 서버의 전체 제어권을 장악하게 해준다. 마치 현관문을 잠그지 않고 "공짜 물건"이라고 적힌 네온사인을 달아놓은 디지털 버전이다.
cPanel과 WHM은 웹 호스팅의 무명 영웅으로, 사이트 구성부터 이메일 관리, 데이터베이스 유지보수까지 모든 것을 처리한다 - 기본적으로 인터넷 도메인이 범람하지 않도록 하는 디지털 배관이다. 이 제품군은 관리하는 서버에 대한 깊고 제한 없는 접근 권한을 가지므로, 성공적인 해킹은 공격자가 마당 판매에서 참견하기 좋아하는 이웃처럼 모든 데이터를 뒤질 수 있다는 뜻이다.
많은 상업용 웹 호스팅 회사가 이미 고객 시스템에 패치를 적용했지만, cPanel 제작사는 모두가 다시 확인할 것을 촉구한다. 버그가 지원되는 모든 버전에 영향을 미치기 때문이다. 네, 전부 다. 캐나다 국가 사이버보안 기관은 악용 가능성이 "매우 높다"는 권고를 내놓았는데, 이는 정부 용어로 "스크롤 멈추고 지금 패치하라"는 뜻이다.
웹 호스팅 거대 기업 Namecheap은 cPanel을 고객에게 사용하는데, 결함을 알게 된 후 cPanel 패널에 대한 접근을 차단했다 - 파티가 망가지기 전에 VIP 라운지를 폐쇄하는 경비원처럼. Hostgator도 시스템에 패치를 적용했으며, 이 버그를 "심각한 인증 우회 익스플로잇"이라고 불렀는데, 무섭게 들리고 실제로 그렇다.
한 웹 호스팅 회사인 KnownHost는 해커들이 2월 23일부터 이 취약점을 남용해왔다는 증거를 발견했다 - 몇 달 동안 초대받지 않은 손님이 디지털 그림자 속에 숨어 있었다는 뜻이다. CEO Daniel Pearson은 Reddit에 KnownHost 서버 약 30대에서 무단 접근 시도 흔적이 발견되었지만, 활성 침해는 확인되지 않았다고 공유했다. 그는 노력을 시도에 비유했는데, 반쯤 열린 창문만큼이나 안심이 된다.
cPanel은 또한 WordPress 사이트를 관리하는 유사한 도구인 WP Squared에 대한 보안 수정을 배포했다. 분명히 이번 주의 주제는 "모든 것을 패치하라"인 것 같다. cPanel을 사용 중이라면 웹 호스트에 확인해보거나, 그냥 알아서 처리했다고 가정하고 최선을 바라자.