No more Reviewer #2 — 논문 리뷰어 매칭 시스템 공격하기

No more Reviewer #2: Subverting Automatic Paper-Reviewer Assignment using Adversarial Learning

https://arxiv.org/pdf/2303.14443.pdf

학술 연구는 현대 사회에서 빠질 수 없는 핵심 요소입니다. 이 논문들은 연구자들의 노력과 열정의 결정체로, 그들의 발견과 아이디어를 세계와 공유하는 수단입니다. 그러나 이러한 논문이 학계에 인정받기 위해서는 한 가지 중요한 과정을 거쳐야 합니다. 바로 리뷰입니다.

리뷰는 학술 연구의 질을 확보하는 데 있어 결정적인 역할을 합니다. 이 과정을 통해, 논문의 내용이 독립적인 전문가들에게 평가받게 되며, 그 결과물의 타당성과 기여도가 검증됩니다. 그럼에도 불구하고, 학술 컨퍼런스와 저널에 제출되는 논문의 양이 상당한데다가 최근들어 더욱 폭발적으로 증가함에 따라, 리뷰 프로세스에 부담이 가해지고 있습니다.

이러한 상황에 대응하기 위해, 많은 학술 기관들은 논문과 리뷰어를 자동으로 매칭하는 시스템을 도입하였습니다. 이 시스템은 머신 러닝과 같은 첨단 기술을 활용하여 빠르게 발전하고 있습니다.

그러나, 이러한 시스템도 완벽하지 않습니다. 최근 연구에서는 이 시스템이 적대적 학습에 의해 조작될 수 있음을 밝혀냈습니다.

TL;DR

1. Topic Model에 대한 공격: 이 연구는 토픽 모델에 대한 새로운 공격 방법을 제시합니다. 이 방법은 리뷰어의 순위를 조작하는 데 특히 효과적이며, 그래디언트 관련 방법론에 의존하지 않습니다.대신, 잠재적인 토픽 공간을 빔 서치를활용하여 탐색합니다.
2. Feature-Problem-Space 변환: 이 공격은 적대적 논문의 의미와 타당성을 유지하기 위해 설계되었습니다. 이를 위해, 논문의 형식과 텍스트를 세심하게 조작하는 다양한 변환 기법을 사용합니다.
3. Adversarial Papers 작성: 이 연구는 화이트박스와 블랙박스 시나리오에서 적대적 논문을 생성하는 방법을 제시합니다. 이 방법은 서로 다른 두 도메인을 이용해 적대적 예제를 생성하기 위한 새로운 하이브리드 전략을 기반으로 합니다.

자동화된 논문-심사자 할당 시스템

학계에서는 논문의 품질을 평가하고 적절한 리뷰어를 찾는 것이 중요한 과제로 여겨집니다. 이를 위해, 다양한 자동화 시스템이 도입되어 사용되고 있습니다. 특히, TPMS(The Toronto Paper Matching System)와 Autobid는 이 분야에서 주목받는 시스템으로, 논문과 리뷰어의 자동 매칭에 큰 역할을 하고 있습니다.

TPMS (The Toronto Paper Matching System)

TPMS는 Charlin과 Zemel에 의해 설계되었으며, 그 효율성과 정확성으로 인해 학계에서 널리 인정받고 있습니다. 이 시스템은 Microsoft의 컨퍼런스 관리 도구인 CMT와의 통합을 통해 ACM CCS, NeurIPS, ICML과 같은 주요 학술 컨퍼런스에서 사용되고 있습니다.

TPMS의 성능과 안정성으로 인해, 이는 논문과 리뷰어 매칭 분야의 사실상의 표준으로 여겨지고 있습니다. 그러나, TPMS의 구체적인 구현은 공개적으로 알려져 있지 않습니다.

Autobid

Autobid는 TPMS의 기본 개념을 기반으로 한 오픈소스 구현체입니다. 이 시스템은 Charlin과 Zemel의 방법론을 충실히 따르며, HotCRP 등에서 사용합니다. IEEE Symposium on Security and Privacy와 같은 컨퍼런스에서 리뷰어 할당을 지원하기 위해 사용되고 있습니다.

이러한 시스템들의 주요 작동 원리는 다음과 같습니다:

1. 먼저, 제출된 논문에서 텍스트를 추출하며, 이 텍스트는 다양한 자연어 처리 기법을 통해 정제됩니다.
2. 이렇게 전처리된 텍스트는 주제 모델링을 통해 잠재적인 토픽 공간으로 변환됩니다.
3. 마지막으로, 이 잠재적 토픽 공간을 기반으로 리뷰어의 순위를 결정하게 됩니다.

이 두 시스템, 특히 TPMS와 Autobid는 주제 모델링과 같은 첨단 기술을 활용하여 논문과 리뷰어의 매칭을 최적화하고 있습니다. 본 연구에서는 TPMS의 구현에 대한 직접적인 접근이 제한되어 있기 때문에, 주로 Autobid 시스템에 초점을 맞추어 연구가 진행되었습니다.

1. Text Extraction

논문에서는 주요 텍스트와 키워드를 추출하는 과정이 이루어집니다. 제목, 초록, 본문 등 논문의 핵심 부분들이 분석 대상이 됩니다. 논문은 다양한 형식, 주로 PDF로 제출되기 때문에, 첫 단계는 이러한 문서에서 텍스트를 추출하는 것입니다. Autobid는 이를 위해 pdftotext라는 도구를 활용합니다.

추출된 텍스트는 전처리 과정을 거쳐 분석이 용이한 형태로 변환됩니다. 이 과정에서는 불필요한 단어나 문장 부호 제거, 단어의 기본 형태로 변환(예: 동사의 원형 복원) 등의 작업이 이루어집니다.

최종적으로, 각 논문은 단어의 bag-of-words 고차원 벡터로 표현됩니다.

2. Topic Modeling

전처리된 텍스트는 주제 추출기 Γ(·)를 통한 주제 모델링 알고리즘을 통해 분석됩니다. 주제 모델링은 텍스트 내의 주제를 자동으로 식별하는 비지도 학습 작업입니다. 이 작업에는 여러 알고리즘이 있지만, TPMS와 Autobid는 주로 Latent Dirichlet Allocation (LDA)를 활용합니다.

LDA는 베이지안 확률론적 방법을 기반으로 하며, 문서 내의 잠재적 주제를 식별하는 데 효과적입니다. 이 방법을 통해 각 문서는 주제의 저차원 혼합물(각 문서의 주제 분포를 나타내는 벡터)로 표현됩니다.

주제 모델링의 핵심은 텍스트에서 주제를 자동으로 식별하는 것입니다. 이렇게 식별된 주제는 논문과 리뷰어 간의 유사성을 측정하는 데 활용됩니다.

3. Reviewer Assignment

주제 모델링을 통해 파악된 논문의 주제와 키워드를 기반으로, 가장 적합한 리뷰어가 선택됩니다. 이 과정에서는 리뷰어의 전문 분야, 이전 연구, 그리고 관심사 등의 정보가 활용됩니다. 논문과 리뷰어 간의 최적의 매칭을 위해, 주제 모델링 결과와 리뷰어의 전문성 및 관심사를 기반으로 논문을 적절한 리뷰어에게 할당하는 알고리즘이 도입됩니다.

주제 추출기 Γ(·)가 주어지면, 리뷰어 r과 논문 x에 대해 Autobid는 입찰 점수를 위와 같은 내적으로 정의합니다. 이 점수는 리뷰어의 아카이브 Ar와 논문 x 사이의 유사성을 반영합니다; 더 유사할수록 점수가 높아집니다.

이 과정을 통해 논문과 리뷰어 간의 최적의 매칭이 이루어집니다. 이러한 자동화된 시스템은 논문의 내용과 리뷰어의 전문성 및 관심사를 기반으로 논문을 적절한 리뷰어에게 할당하는 데 도움을 줍니다.

적대적 학습을 통한 시스템 조작

적대적 학습이란, 머신 러닝 모델의 예측을 혼란시키기 위해 입력 데이터에 미세한 변화를 주는 기술을 의미합니다. 이 기술은 원래 머신 러닝 모델의 취약점을 찾아내기 위한 목적으로 개발되었지만, 그 힘을 빌려 다양한 분야에서 시스템을 조작하는 데 사용되고 있습니다.

• 적대적 공격의 목표: 연구자들의 주요 목표는 자신의 논문에 미세한 변화를 주어 원하는 리뷰어를 할당받거나, 또는 특정 리뷰어를 피하는 것입니다. 이렇게 하면, 논문이 더 쉽게 수용될 수 있거나, 경쟁하는 다른 연구를 방해하는 등의 이점을 얻을 수 있습니다.
• 공격 전략: 연구자들은 논문의 텍스트를 조금씩 수정하여 주제 모델링 알고리즘이 원하는 결과를 출력하도록 조작합니다. 이 때, 논문의 원래 의미와 내용이 훼손되지 않도록 주의를 기울여야 합니다.
• 실제 적용 사례: 연구팀은 실제 논문 제출 시스템에서 적대적 공격을 시도하였고, 그 결과를 통해 시스템의 취약점을 확인하였습니다.

이러한 적대적 공격은 학술 커뮤니티의 신뢰성에 큰 위협을 가하게 됩니다. 공정한 평가 없이 논문의 품질이 결정된다면, 학술 연구의 질과 그에 따른 사회적 영향에 대한 신뢰가 크게 떨어질 것입니다. 따라서 이러한 적대적 공격에 대한 대응책과 방어 전략의 중요성이 더욱 부각되고 있습니다.

1. White-box 적대자 (White-box Adversary): White-box 적대자는 시스템의 모든 내부 구조와 동작 원리를 알고 있는 공격자를 의미합니다. 이러한 적대자는 시스템의 모든 정보를 알고 있기 때문에, 가장 강력한 공격을 수행할 수 있습니다.
2. Black-box 적대자 (Black-box Adversary): 반면, Black-box 적대자는 시스템의 내부 구조나 동작 원리를 모르는 상태에서 공격을 수행합니다. 이러한 적대자는 공개된 정보만을 활용하여 공격 전략을 세우게 됩니다.

Hybrid; Feature-problem-space attack

이 전략은 논문의 특징과 문제 공간 사이에서 작동합니다. 공격자는 논문의 특징을 조작하여 원하는 결과를 얻기 위해 문제 공간을 조작합니다.

하이브리드 최적화 전략은 문제 공간(Z)과 특징 공간(F) 사이의 복잡한 상호 작용을 극복하기 위한 독창적인 방법입니다. 이 전략은 두 공간 사이에서의 연속적인 이동을 통해 공격을 최적화하려는 시도로 볼 수 있습니다. 다음은 이 전략의 주요 구성 요소입니다:

1. 특징-문제 공간 공격: 공격의 시작점은 초기 제출물 z입니다. 여기서 공격자는 먼저 특징을 추출하고, 이 특징 공간에서 공격을 시작합니다. 함수의 비가역성 때문에, 공격자는 문제 공간에서 적절한 변환을 찾아야만 합니다. 변환 과정에서 발생하는 부작용과 제한 사항으로 인해, 특징 벡터는 원래 위치에서 이동하게 됩니다. 이로 인해 공격자는 새로운 위치에서 검색을 계속하게 되며, 이 과정은 목표에 도달하거나 최대 반복 횟수에 도달할 때까지 계속됩니다.
2. 제약 매핑: 문제 공간에서의 변환 복잡성을 극복하기 위한 전략입니다. 특징 공간에서 요청된 모든 수정이 문제 공간의 제약 조건 때문에 항상 가능한 것은 아닙니다. 예를 들어, LATEX에서는 특정 환경에서 homoglyphs를 사용할 수 없거나, 히든 박스를 캡션이나 섹션 제목에 적용할 수 없습니다. 이러한 제약 조건은 일반적으로 예측하기 어렵기 때문에, 문제 공간의 각 특별한 경우를 개별적으로 처리하는 것보다는 더 일반적인 방법을 사용하는 것이 바람직합니다. 이 전략에서는 문제 공간의 변환기가 처리할 수 없는 단어를 먼저 식별하고, 이러한 단어들이 특징 공간에서 후보 생성 중에 제외되도록 합니다.

이 하이브리드 최적화 전략은 문제 공간과 특징 공간 사이의 복잡한 상호 작용을 극복하기 위해 개발되었습니다. 공격자는 이 두 공간 사이에서 교대로 공격을 수행하며, 최적의 결과를 얻기 위해 확률적 빔 서치와 같은 최적화 전략을 활용합니다.

그래디언트 스타일 공격 (Gradient-style attack)

학계에서는 그래디언트 스타일 공격이 신경망에 대한 공격 방법으로 널리 알려져 있습니다. 이 방법은 신경망의 기울기 정보를 활용하여 입력 데이터에 작은 변화를 주어 모델의 예측을 잘못하게 만드는 방식입니다.

그러나, 확률론적 주제 모델인 LDA에 이러한 방식을 적용하는 것은 쉽지 않습니다. LDA와 같은 모델의 추론 과정을 조작하는 것은 NP-hard 문제로 알려져 있습니다. 이는 실제로 해결하기 매우 어려운 문제임을 의미합니다.

확률적 빔 검색 (Stochastic beam search)

확률적 빔 서치는 두 가지 주요 도전 과제를 극복하기 위해 도입되었습니다. 첫째, 주제 분포를 직접 변경하는 것은 상당히 복잡한 작업입니다. 둘째, LDA는 각 단어에 대해 작은 가중치만을 부여하기 때문에, 공격자는 주제 할당을 변경하기 위해 많은 단어를 조작해야 합니다.

이러한 문제를 해결하기 위해, 가장 높은 누적 확률을 가진 빔을 최종적으로 선택하는 확률적 빔 서치를 사용합니다. 이는 논문의 주제 분포를 성공적으로 조작하고, 원하는 리뷰어 할당을 얻는 데 효과적입니다.

문제 공간 Type

논문은 문제 공간을 세 가지 주요 범주로 나누어 설명하고 있습니다:

1. 텍스트 레벨 (Text-level)

텍스트 레벨에서의 변형은 실제 논문의 내용에 직접 작용합니다. 이는 대상 지정 수정만 가능하다는 특징이 있습니다. 예를 들어, 동의어를 교체하거나 언어 모델을 사용하여 생성된 텍스트를 논문에 추가하는 것이 이 범주에 포함됩니다.

2. 인코딩 레벨 (Encoding-level)

인코딩 레벨에서의 변형은 논문의 텍스트 표현 방식과 인코딩을 조작하는 것을 중심으로 합니다. 특정 단어나 문자의 인코딩을 변경함으로써, 그 단어나 문자가 다르게 해석되도록 만드는 것이 이 범주의 주요 전략 중 하나입니다.

3. 형식 레벨 (Format-level)

형식 레벨에서의 변형은 논문의 기본 문서 형식과 관련된 조작을 포함합니다. 이 논문에서는 PDF 형식의 히든박스를 활용하는 방법을 제시하고 있습니다. latex 패키지 accsupp를 사용하여 히든박스에 대체 텍스트를 정의하면, 텍스트 추출기는 이 대체 텍스트를 처리하게 되며, 실제 PDF 리더는 원래의 텍스트만을 표시하게 됩니다.

서로게이트 모델 (Surrogate models)

서로게이트 모델은 블랙박스 공격 시나리오에서의 핵심 전략입니다. 이 시나리오에서 공격자는 직접적으로 피해자의 모델에 접근할 수 없기 때문에, 대신에 공개적으로 알려진 정보를 활용하여 모방하는 모델을 구축합니다. 이렇게 구축된 서로게이트 모델은 공격자가 적대적인 논문을 준비하는 데 사용됩니다.

이러한 접근 방식은 신경망 공격에서 이미 입증된 방법입니다. 그러나 LDA와 같은 확률론적 모델에서는 이러한 접근 방식이 그대로 적용되기 어렵습니다. LDA 모델은 고도의 변동성을 가지기 때문에, 동일한 훈련 데이터를 사용하더라도 다른 예측을 생성하는 다양한 모델을 얻을 수 있습니다. 이는 공격자가 생성한 적대적 논문이 실제 피해자의 모델에서 예상대로 작동하지 않을 수 있다는 것을 의미합니다.

이 문제를 극복하기 위해, 이 논문에서는 여러 서로게이트 모델을 앙상블로 결합하여 LDA 모델의 변동성을 극복하려고 시도합니다. 이 앙상블 접근법은 여러 서로게이트 모델에 대해 동시에 공격을 수행하며, 모든 모델에서 성공적인 결과를 얻을 때까지 공격을 계속합니다. 이렇게 하면, 적대적 논문은 여러 다른 모델에 대해 견고하게 작동하게 되어, 실제 피해자의 모델에 대한 공격의 성공 확률이 높아집니다.

조작의 결과와 영향

논문 조작을 통해 리뷰어 매칭 방법론을 공격할 수 있다는 것을 알게 된 이상, 조작된 논문이 실제로 어떻게 작동하는지와 그 결과가 어떤 영향을 미칠 수 있는지를 이해하는 것은 (당연하지만) 매우 중요합니다.

• 조작된 논문의 특징: 조작된 논문은 겉보기에는 일반적인 논문과 크게 다르지 않습니다. 그러나, 미묘하게 특정 키워드나 문구가 추가되거나 수정되어, 논문-리뷰어 매칭 시스템을 오판하게 만듭니다.
• 학술 커뮤니티에 미치는 영향: 조작된 논문이 학술 커뮤니티 내에서 널리 퍼질 경우, 연구의 품질과 신뢰도에 큰 타격을 줄 수 있습니다. 논문의 품질 평가가 공정하게 이루어지지 않으면, 연구 결과의 신뢰성이 떨어지게 되며, 학술 커뮤니티 전체의 신뢰도가 훼손될 수 있습니다.
• 학술 연구의 미래: 적대적 학습과 같은 기술이 학술 연구에 어떤 영향을 미칠지에 대한 깊은 논의와 탐구가 필요합니다.

실험 설정 (Experiment Setup)

이 연구에서는 Autobid와 TPMS의 개념을 활용하여 43rd IEEE Symposium on Security and Privacy에 대한 자동 리뷰어 할당을 시뮬레이션하였습니다. 실제와는 달리, 완전히 자동화된 할당을 가정하였습니다. 원래의 제출물에 접근할 수 없기 때문에 accept된 논문들을 대체재로 사용하였습니다. 또한, arXiv 및 e-Print 아카이브에서 32개 논문의 LATEX 소스를 수집하였습니다.

PC는 총 165명의 전문가로 구성되어 있습니다. 각 전문가의 전문성을 파악하기 위해, Google Scholar 프로필을 분석하였습니다. 이를 통해 각 리뷰어의 전문성을 대표하는 논문 아카이브를 구성하였습니다.

제출물의 수정 정도를 정량화하기 위해, L1과 L∞ 노름 두 가지 표준 측정 기준을 사용하였습니다.

화이트박스 시나리오

화이트박스 시나리오에서의 공격은 높은 성공률을 보였습니다. 초기에 할당된 리뷰어 중 최소 한 명을 제거하는 것부터 시작하여, 모든 리뷰어를 완전히 선택하는 것까지 확장할 수 있었습니다. 이는 공격이 매우 효과적으로 이루어졌음을 의미합니다.

• 선택 (selection): 리뷰어를 샘플링하고 그들을 제출물에 할당하려고 시도합니다.
• 거부 (rejection): 리뷰어를 선택하고 그들의 할당을 제거하려고 합니다.
• 대체 (substitution): 먼저 제거할 리뷰어를 선택한 다음 대응하는 리뷰어를 선택합니다.

이 실험에서는 형식 수준의 변환을 주로 고려했습니다. 이러한 변환은 논문의 내용을 임의로 변경할 수 있게 해줍니다. 실험 결과는 공격의 접근 방식이 매우 효과적임을 보여줍니다(7분만에 99.7%의 공격이 성공적으로 완료되었습니다).

변경은 9개에서 22,621개까지 다양했습니다. 그러나 평균적으로 필요한 변경은 제출물의 9%에서 13%에 해당하는 704에서 1,032 단어 사이였습니다. 원본 제출물은 평균적으로 7,649 단어를 포함하고 있습니다.

• 왼쪽 그래프: 공격 예산(σ, 공격자가 논문을 조작할 때 허용되는 최대 변경량)에 따른 성공률 변화를 보여줍니다. 텍스트 레벨 변환만을 사용하거나 텍스트 레벨 및 인코딩 레벨 변환을 함께 사용할 때의 성공률이 예산의 증가에 따라 어떻게 변화하는지를 나타냅니다. 기본 예산(σ = 1)에서는 40.75%의 적대적 논문이 텍스트 레벨 변환만으로 생성될 수 있습니다. 예산을 늘림으로써 성공률은 더욱 향상될 수 있습니다.
• 오른쪽 그래프: 기본 예산(σ = 1)을 사용하면서 문제-특징 공간 전환(S)의 횟수를 변화시킬 때의 성공률을 보여줍니다. 전환 횟수는 특징 공간과 문제 공간 사이에서 얼마나 많이 교대로 전환되는지를 나타냅니다. 특징 공간에서는 논문의 특징(예: 단어 빈도)을 조작하고, 문제 공간에서는 논문의 실제 내용(예: 문장 구조)을 조작합니다. 전환 횟수의 증가는 성공률에 큰 영향을 미칩니다.

블랙박스 시나리오

블랙박스 시나리오에서는 공격자가 대상 시스템의 내부 작동 방식에 대한 지식이 제한적입니다. 이러한 시나리오는 실제 세계의 공격 상황을 더 잘 반영하며, 공격자가 시스템의 내부 구조나 학습 데이터에 접근할 수 없는 상황을 가정합니다.

LDA의 훈련은 결과에 높은 변동성을 가져올 수 있습니다. 이러한 불안정성 때문에, 하나의 모델에서 생성된 적대적 논문이 다른 모델로 잘 전송되지 않을 수 있습니다. 이 문제를 극복하기 위해, 여러 대리 모델을 앙상블로 통합하여 공격을 수행하는 방법을 제안합니다. 이렇게 하면 다양한 모델 간의 불일치를 줄일 수 있습니다.

대리 말뭉치는 대상 시스템의 학습 데이터를 대신하는 데이터셋입니다. 이 실험에서는 대리 말뭉치의 중복도에 따라 공격의 성공률이 어떻게 변하는지를 조사합니다. 결과적으로, 훈련 데이터의 변동에도 불구하고 공격의 성공률은 크게 변동되지 않았습니다. 이는 공격이 매우 견고하며, 대리 말뭉치의 구성에 크게 의존하지 않는다는 것을 의미합니다.

위 그림은 다양한 대리 모델의 수를 사용하여 공격을 시뮬레이션한 결과를 보여줍니다. 이를 통해 대리 모델의 수가 공격의 성공률에 어떻게 영향을 미치는지를 평가할 수 있습니다.

가독성

위: 공격 전 / 아래: 공격 후

공격의 목적은 리뷰어 할당을 조작하는 것이지만, 이를 달성하기 위해 논문의 내용을 변경해야 합니다. 따라서 변경된 논문이 원본 논문과 얼마나 유사한지, 그리고 그 변경이 논문의 가독성이나 의미에 어떤 영향을 미치는지가 중요한 문제입니다.

21명의 실험 참가자들은 조작된 논문에 대해 높은 가독성 점수를 부여하였습니다. 이는 공격에 의해 도입된 변경이 논문의 가독성을 크게 손상시키지 않았음을 의미합니다. 실제로, 대부분의 조작된 논문은 원본 논문과 매우 유사하게 평가되었습니다. 단 하나의 논문만이 의심스러운 것으로 평가되었는데, 이는 공격과는 관련이 없는 다른 이유로 인한 것으로 판명되었습니다. 이 결과는 공격자가 논문의 내용을 조작하면서도 그 가독성을 유지할 수 있음을 보여줍니다.

공격 예산이 제한적이기 때문에, 논문에 도입된 변경은 작고 제한적입니다. 조작된 논문의 의미는 원본 논문과 크게 다르지 않았습니다. 참가자들은 조작된 논문과 원본 논문 모두에 대해 유사한 의미론 평가 점수를 부여하였습니다. 이는 공격자가 논문의 의미를 효과적으로 보존하면서 리뷰어 할당을 조작할 수 있음을 의미합니다.

완화 전략

LDA와 같은 주제 모델은 적대적 노이즈에 대해 상대적으로 강한 견고성을 보여주었습니다. 그러나, 이 연구는 이러한 모델도 적대적 조작에 취약하다는 것을 밝혀냈습니다.

인코딩 및 형식 수준의 조작에 대한 방어는 가능하며, 이를 위해 광학 문자 인식 (OCR)을 사용하는 것이 효과적입니다.

아래는 이 연구에서 제시된 주요 토론 포인트와 기타 방어 전략에 대한 요약입니다:

• Committee size: 학술 회의의 위원회 크기는 제한적이며, 이는 공격자에게 리뷰어 선택에 있어서 제약을 줍니다. 그러나 이 연구는 큰 위원회를 기반으로 실험을 진행하였습니다.
• 로드 밸런싱: 리뷰어 할당에는 다양한 제약 조건이 존재합니다. 이러한 제약 조건은 공격의 복잡성을 증가시키지만, 본 연구에서는 이를 고려하지 않았습니다.
• 논문 말뭉치 (Paper corpus): 논문 말뭉치의 크기와 품질은 공격의 성공률에 큰 영향을 미칩니다. 더 큰 말뭉치는 더 정확한 대리 모델을 생성하는 데 도움이 될 수 있습니다.

자동화된 논문-리뷰어 할당 시스템의 취약점이 수면 위로 드러난 이상, 이에 대한 적절한 대응과 지속적인 연구가 필요할 것이며, 학술 연구의 질과 신뢰성을 높이는 모습을 보여야 할 것입니다.

💻 https://github.com/lukepark327
🎓 https://scholar.google.com/citations?user=lf8r2QgAAAAJ