どうしても、CGIを修正したくない(ライセンス上できない?)のなら、
そのCGIにたどりつく前段でIPアドレス認証してLoginクッキーをキーを
IPアドレスにして発行して、元のCGI実行時にmod_auth_cookieで認証すれば
REMOTE_USERにIPアドレスを入れることが可能かな。

ただ、ユーザーによるクッキー改ざんにそれだけでは対抗できそうに
ないので、ユーザーが信頼できないならば、mod_auth_remoteでも
組み込んで認証モジュール書こう。