[구형준 교수] SecAI 연구실, ACM Conference on Computer and Communications Security (CCS) (CCS ’25) 논문 게재 승인

 SecAI 연구실 (지도교수 구형준, https://secai.skku.edu)의 Shakhzod 학생 (석사과정)과 전미진 (석사과정) 학생의 "A Decade-long Landscape of Advanced Persistent Threats: Longitudinal Analysis and Global Trends" 논문이 보안분야 최우수학회인 ACM Conference on Computer and Communications Security (CCS’25)에 게재 승인되어 2025년 10월에 발표될 예정입니다.

지능형 지속 공격 (Advanced Persistent Threat, APT)은 주로 국가의 지원을 받는 공격자들이 장기간에 걸쳐 은밀하게 수행하는 사이버 공격으로, 정부 기관이나 주요 인프라를 대상으로 하여 장시간 탐지되지 않은 채 지속되는 특징이 있습니다. 이러한 위협을 모니터링하고 이해하기 위해 산업계와 학계는 공개된 APT 캠페인 관련 문서들을 기반으로 협력하여 다양한 분석을 수행하고 있습니다. 기존 연구들은 주로 APT 탐지 및 평가, 사이버 위협 인텔리전스 (Cyber Threat Intelligence, CTI) 구축, 데이터셋 생성 등 특정 영역에 집중되어 왔으나, 흩어진 문서들을 거시적으로 연결하고 재조명하는 연구는 부족한 상황입니다. APT 캠페인은 시간이 흐르면서 공격자의 전략, 대상, 수단이 변화하는 복합적 양상을 보이기 때문에 이러한 장기적 관점에서의 분석은 APT의 진화 경향을 파악하는 데 중요한 의미를 가집니다.

본 논문에서는 지난 10년 간 (2014–2023) 수집된 총 1,509건의 개별 APT 기술 보고서 (24,215페이지)를 분석하여 603개의 고유한 APT 그룹을 식별하고, 이를 통해 APT 공격의 전반적 양상과 글로벌 트렌드를 거시적 관점에서 분석합니다. 이를 위해 기술 보고서를 중심으로 한 세 가지 소스와 위협 행위자 중심의 또 다른 세 가지 소스를 포함한 신뢰할 수 있는 6개 출처와 177개의 관련 뉴스 기사를 활용하였으며, 대용량 문서 처리를 위해 규칙 기반 정보 검색 기법과 대형 언어 모델(LLM) 기반 검색 기법을 결합한 하이브리드 기법을 적용하였습니다. 그 결과, APT 캠페인의 10년간 진화 과정, 사이버 위협 인텔리전스 기록 현황, APT의 공통적 특성, 그리고 정치적 사건, 국제 분쟁, 글로벌 팬데믹 등 외부 요인이 APT 활동에 미치는 영향 등을 종합적으로 분석할 수 있었습니다. 특히 10년 동안 총 154개국이 APT의 영향을 받았으며, 초기 침입 벡터로는 주로 악성 문서와 스피어 피싱이 사용되었고 2016년 이후 제로데이(zero-day) 취약점 활용이 감소하는 추세를 보였습니다. 또한, APT의 글로벌 동향을 직관적으로 이해할 수 있도록 APT 지도와 위협 행위자들과 표적 국가들 간의 관계를 보여주는 흐름도를 통해 시각화 자료도 제공합니다.