cPanel 해킹 사태란? 최근 보안 이슈 배경
최근 몇 년 사이 cPanel 기반 웹호스팅 서비스를 겨냥한 침해 사고가 국내외에서 잇따라 보고되고 있다. cPanel은 리눅스 기반 웹호스팅 환경에서 가장 널리 쓰이는 관리 패널로, 전 세계 수백만 개 이상의 사이트가 이를 통해 운영된다. 공격자 입장에서 cPanel은 하나의 계정만 탈취해도 해당 서버에 올려진 다수의 사이트를 동시에 장악할 수 있는 고가치 표적이다.
공격자가 cPanel을 집중 공략하는 이유는 관리 권한의 집중 때문이다. cPanel 계정에는 파일 관리, 데이터베이스, 이메일, DNS 설정 등 사이트 운영 전반을 제어하는 권한이 집약되어 있다. 한 번의 침해로 공격자는 웹쉘을 심고, 스팸 발송 인프라로 서버를 전용하거나, DB에 저장된 개인정보를 탈취하는 것이 모두 가능하다.
실제 피해 유형은 크게 세 가지로 나타난다. 첫째, 메인 페이지나 디렉토리 인덱스 파일이 변조되는 사이트 위변조, 둘째, 서버 자원을 이용한 대량 스팸·피싱 메일 발송, 셋째, MySQL·MariaDB 데이터베이스 덤프 탈취다. 피해가 장기간 방치되면 구글 세이프 브라우징 블랙리스트에 등재되어 검색 순위 급락 및 방문자 경고 팝업이 표시되는 SEO 페널티까지 이어진다.
cPanel 보안 취약점의 주요 유형
무차별 대입(Brute Force) 공격은 cPanel 침해 사고의 가장 흔한 진입 경로다. 자동화 도구를 이용해 초당 수백 건의 로그인 시도를 반복하는 방식으로, 기본값 비밀번호나 8자 이하 단순 패스워드를 사용하는 계정은 수 시간 내에 뚫릴 수 있다. 잠금 정책이 없는 환경이라면 공격은 더욱 용이해진다.
소프트웨어 업데이트 누락도 중요한 취약 요인이다. PHP 구버전(5.x, 7.0~7.2)은 공식 지원이 종료되어 새로운 취약점이 발견되어도 패치가 제공되지 않는다. WordPress 플러그인의 알려진 취약점(CVE)을 노리는 자동화 공격도 활발하다. cPanel 자체 업데이트 역시 주기적으로 적용하지 않으면 미패치 취약점이 누적된다.
파일 시스템 권한 설정 오류도 빈번한 문제다. 업로드 디렉토리나 캐시 폴더에 777 권한(모든 사용자 읽기·쓰기·실행)이 부여된 경우, 공격자는 웹쉘 파일을 업로드한 뒤 원격에서 서버 명령을 실행할 수 있다. 공유 호스팅 환경에서는 다른 계정 사용자가 이를 악용하는 시나리오도 발생한다.
FTP 계정과 이메일 주소는 크리덴셜 스터핑 공격의 주요 대상이다. 다른 서비스에서 유출된 아이디·비밀번호 조합을 자동으로 대입해 접근을 시도하는 방식으로, 동일 비밀번호를 여러 서비스에 재사용할 경우 피해 확산 속도가 빠르다.
웹호스팅 보안 점검 5단계
1단계 — 로그인 보안 강화
cPanel 계정의 비밀번호는 최소 16자 이상, 대소문자·숫자·특수문자를 혼합해 설정한다. 2단계 인증(2FA) 은 현재 cPanel이 기본 제공하는 기능으로, Security Center > Two-Factor Authentication 메뉴에서 Google Authenticator 앱과 연동하면 비밀번호가 탈취되더라도 로그인을 차단할 수 있다. 2FA 활성화는 선택이 아닌 필수 조치로 간주해야 한다.
또한 cPanel 기본 포트(2082/2083) 접근에 대해 5회 이상 로그인 실패 시 해당 IP를 자동 차단하도록 WHM의 cPHulk Brute Force Protection을 활성화한다. 이 설정만으로도 자동화 무차별 대입 공격의 상당수를 사전 차단할 수 있다.
2단계 — 불필요한 서비스·계정 비활성화
사용하지 않는 FTP 계정, 이메일 포워더, 서브도메인은 즉시 삭제하거나 비활성화한다. 방치된 계정은 공격자가 인지하지 못한 채 스팸 발송 경로로 악용될 수 있다. cPanel의 FTP Accounts, Email Forwarders, Subdomains 메뉴를 정기적으로 검토하는 습관을 들인다.
PHP 버전은 가능하면 현재 공식 지원 중인 최신 안정 버전(8.1 이상)으로 업그레이드한다. PHP 선택기(MultiPHP Manager)가 제공된다면 도메인별로 버전을 개별 지정할 수 있다. 오래된 CMS나 플러그인과의 호환성 문제가 있다면 단계적으로 업그레이드 계획을 수립한다.
3단계 — 파일 권한 점검
올바른 파일 권한 기준은 폴더 755, 파일 644다. cPanel의 File Manager를 이용하거나 SSH로 접속해 다음 명령으로 일괄 재설정할 수 있다.
find /home/계정명/public_html -type d -exec chmod 755 {} \;
find /home/계정명/public_html -type f -exec chmod 644 {} \;777 권한이 설정된 디렉토리는 전면 금지다. WordPress의 경우 wp-config.php는 600 또는 400으로 더욱 제한적으로 설정하는 것이 권장된다. uploads 디렉토리의 경우 PHP 파일 실행을 .htaccess로 차단하는 설정을 추가하면 웹쉘 실행 위험을 크게 줄일 수 있다.
4단계 — 방화벽 및 보안 플러그인 설정
**CSF(ConfigServer Security & Firewall)**는 cPanel/WHM 환경에서 가장 널리 쓰이는 무료 방화벽 솔루션이다. 포트 기반 필터링, 로그인 실패 감지, SYN Flood 방어 등 다양한 기능을 제공한다. 설치 후 /etc/csf/csf.conf에서 TESTING 모드를 해제하고 실제 차단이 활성화되도록 설정해야 한다.
상용 솔루션으로는 Imunify360이 cPanel 공식 파트너 제품으로 제공된다. 머신러닝 기반 악성코드 탐지, 실시간 웹 방화벽(WAF), 자동 패치 기능을 포함하고 있어 보안 인력이 없는 소규모 운영자에게도 적합하다. ModSecurity WAF 규칙(OWASP Core Rule Set)을 적용하면 SQL 인젝션, XSS 등 웹 애플리케이션 공격도 차단할 수 있다.
5단계 — 정기 백업·모니터링 자동화
백업은 보안 사고 발생 시 복구의 유일한 보루다. cPanel 기본 백업 외에 JetBackup 또는 호스팅 업체 제공 R1Soft 백업을 활성화하고, 백업본을 서버 외부(원격 스토리지 또는 S3 호환 스토리지)에 별도 보관한다. 백업 주기는 최소 일 1회를 권장하며, 보존 기간은 7일 이상으로 설정한다.
이상 로그인 알림은 cPanel의 Contact Information 메뉴에서 이메일 또는 SMS로 설정할 수 있다. WHM 수준에서는 루트 로그인, 비밀번호 변경, 서비스 재시작 등의 이벤트에 대한 알림을 구성한다. 로그 파일(/var/log/cpanel, /usr/local/apache/logs/)을 주기적으로 검토하거나 Logwatch 같은 도구로 자동 요약을 받도록 설정한다.
해킹 발생 후 즉시 실행해야 할 대응 절차
침해가 의심되는 즉시 cPanel·FTP·이메일 계정의 비밀번호를 모두 변경하고, cPanel > Security > Session Management에서 현재 활성화된 세션을 강제 종료한다. 피해 확산을 막기 위한 첫 번째 조치다.
이후 Maldet(Linux Malware Detect) 또는 ClamAV를 이용해 전체 파일 시스템을 스캔한다. Maldet는 cPanel 환경에 특화된 악성코드 시그니처를 보유하고 있어 탐지율이 높다. 스캔 결과에서 탐지된 파일은 즉시 격리(quarantine) 처리한 뒤 클린 백업본으로 복원한다.
변조된 파일 중에는 .htaccess와 index.php가 가장 먼저 확인해야 할 대상이다. 공격자는 이 파일에 리다이렉트 코드나 스팸 링크를 삽입하는 경우가 많다. WordPress 사이트라면 wp-includes와 wp-admin 디렉토리 내 비정상 파일 존재 여부도 점검한다.
호스팅 업체 보안팀에 침해 사실을 신고하고 침해 시점 전후 로그 보존을 요청한다. 로그는 공격 경로 분석 및 향후 법적 대응을 위한 증거 자료로 활용될 수 있다. 대부분의 업체는 요청 시 서버 액세스 로그와 오류 로그를 제공한다.
장기적 보안 강화를 위한 추가 권장 설정
cPanel 관리자 패널에 대한 접근을 IP 화이트리스트로 제한하는 것은 가장 효과적인 원격 공격 차단 방법 중 하나다. WHM > Security Center > Host Access Control에서 특정 IP 또는 IP 대역만 2082/2083 포트로 접속하도록 제한하면, 탈취된 비밀번호가 있더라도 지정 IP 외부에서는 로그인 자체가 불가능하다.
SSL/TLS 설정은 Let’s Encrypt AutoSSL을 통해 모든 도메인에 무료 인증서를 유지하고, WHM의 TLS Protocols 설정에서 TLS 1.0/1.1을 비활성화한다. HSTS(HTTP Strict Transport Security) 헤더와 CSP(Content Security Policy) 헤더를 .htaccess에 추가하면 중간자 공격과 XSS 피해를 추가로 억제할 수 있다.
보안 감사는 WHM의 Security Advisor 항목을 월 1회 이상 점검하는 것으로 시작할 수 있다. Security Advisor는 현재 설정의 취약 항목을 자동으로 진단하고 권장 조치를 안내한다. 추가로 외부 스캐너(예: Qualys SSL Labs, Mozilla Observatory)를 활용해 웹 서버 설정의 보안 등급을 객관적으로 확인하는 것도 권장된다.
새로운 웹호스팅 서비스를 선택하거나 이전할 때는 ModSecurity 지원 여부, 자동 패치 제공 여부, 격리된 계정 환경(CloudLinux) 을 반드시 확인한다. 공유 호스팅 환경에서 CloudLinux와 CageFS가 적용되어 있다면 같은 서버의 다른 계정이 침해되더라도 자신의 계정으로 피해가 번지는 것을 차단할 수 있다.
cPanel 보안은 일회성 설정이 아닌 지속적인 관리의 영역이다. 위 5단계를 초기 점검 체크리스트로 활용하고, 이후 월별 정기 감사 루틴으로 내재화하는 것이 장기적인 웹호스팅 보안의 핵심이다.