거래 데이터 효용 중심 익명화 방안

본 논문은 개인별 거래 데이터를 익명화하는 새로운 프레임워크를 제안한다. 서론에서는 의료·정부 등 다양한 분야에서 개인식별이 가능한 거래 데이터를 공개해야 하는 현실과, 기존의 단순 탈식별(Explicit Identifier Removal)만으로는 충분하지 않다는 점을 강조한다. 특히, 아이템셋(예: 진단 코드)의 일부가 알려졌을 때 해당 거래를 식별할 수 있는 ‘Identity Disclosure’ 문제를 해결하기 위해 프라이버시 제약과 유틸리티 제약을 동시에 만족시켜야 함을 제시한다. 기존 연구는 주로 k‑anonymity, k‑m‑anonymity, (h,k,p)‑coherence와 같은 모델에 의존했으며, 이들은 보호해야 할 아이템셋을 크기 m에 따라 전체 조합으로 확대하거나, 아이템을 계층 구조에 맞춰 강제 일반화하거나 억제하는 방식을 사용한다. 이러한 접근법은 (1) 보호 대상이 과도하게 확대돼 불필요한 정보 손실, (2) 실제 분석에 필요한 유틸리티(예: 특정 진단 코드의 정확한 빈도) 무시, (3) 탐색 가능한 변환 공간이 제한적이라는 세 가지 한계를 가진다. 논문은 이러한 문제점을 해결하기 위해 ‘제약 기반 모델링’과 ‘계층‑없는 집합 기반 일반화’를 도입한다. 제약 모델링에서는 (i) 프라이버시 제약: 보호가 필요한 특정 아이템셋을 명시적으로 정의하고, 최소 k개의 거래와 연결되도록 요구한다. (ii) 유틸리티 제약: 분석 목적에 따라 특정 아이템의 빈도 유지, 최대 억제 비율 등 실용적인 요구를 정의한다. 프라이버시 제약은 데이터 소유자가 도메인 지식을 바탕으로 직접 지정하거나, 데이터 자체에서 자동 추출하는 방법을 제시한다. 집합 기반 일반화 모델(Definition 3.1)은 각 원본 아이템을 고유한 일반화 아이템(또는 억제된 빈 집합)으로 매핑한다. 이때 일반화 아이템은 서로 겹치지 않으며, 아이템을 임의의 집합으로 묶을 수 있어 기존 트리 기반 모델보다 훨씬 유연하다. Corollary 3.1·3.2는 이 모델이 기존 전체‑서브트리(generalization) 모델을 특수 경우로 포함함을 증명한다. Theorem 3.1은 두 아이템이 동일한 일반화 아이템으로 매핑될 때 지원도(support)가 어떻게 합산되는지를 정량적으로 보여, k‑anonymity 보장을 이론적으로 뒷받침한다. 알고리즘 COAT(COnstraint‑based Anonymization of Transactions)은 다음과 같이 동작한다. 1) 프라이버시 제약을 우선순위에 따라 선택한다. 2) 선택된 제약을 만족시키기 위해 가능한 일반화 조합을 탐색하면서, 유틸리티 제약을 위배하지 않도록 정보 손실을 최소화한다. 3) 일반화만으로 제약을 만족시킬 수 없을 경우, 최소한의 아이템을 억제한다. 이 과정에서 지원도 계산과 일반화 원칙을 활용해 효율적인 탐색을 수행한다. 알고리즘은 반복적으로 모든 제약을 만족시킬 때까지 진행되며, 최종적으로 k‑anonymity와 지정된 유틸리티 제약을 동시에 만족하는 데이터셋을 생성한다. 실험에서는 두 종류의 데이터셋을 사용했다. 첫 번째는 UCI와 같은 공개 벤치마크 데이터이며, 두 번째는 Vanderbilt 대학 의료센터의 전자 의료 기록에서 추출한 실제 환자 진단 코드 거래 데이터이다. 비교 대상은 Apriori 기반 k‑m‑anonymity와 (h,k,p)‑coherence 알고리즘이다. 평가 지표는 정보 손실(Generalized Information Loss), 유틸리티 제약 위반 비율, 실행 시간이다. 결과는 COAT이 평균 30 %~45 % 낮은 정보 손실을 보이며, 특히 유틸리티 제약(예: 특정 코드 c의 정확한 빈도 유지) 위반이 거의 없음을 확인했다. 실행 시간은 기존 방법과 비슷하거나 약간 빠른 수준으로, 실용적인 적용 가능성을 입증한다. 또한 실제 의료 데이터 사례에서는, 연구자가 필요로 하는 ‘감기(cold)’ 진단 코드의 환자 수를 정확히 계산해야 하는 상황을 설정하였다. 기존 방법은 과도한 일반화·억제로 인해 해당 코드의 빈도가 왜곡되었지만, COAT은 제약 기반 일반화와 최소 억제로 정확한 통계치를 유지하면서도 k‑anonymity를 만족시켰다. 결론적으로, 이 논문은 (1) 프라이버시와 유틸리티를 동시에 고려한 제약 기반 모델링, (2) 계층‑없는 유연한 일반화 기법, (3) 효율적인 COAT 알고리즘을 제시함으로써, 거래형 데이터 익명화 분야에 새로운 패러다임을 제공한다. 향후 연구에서는 속성 공개 방지(l‑diversity)와 같은 추가 프라이버시 목표와, 동적 데이터 스트림에 대한 확장 가능성을 탐구할 계획이다.