조합 공격과 보조 정보에 대한 데이터 프라이버시 연구

**1. 서론 및 연구 배경** 데이터 공개가 사회적·경제적 가치를 창출함에도 불구하고, 개인 프라이버시 침해 위험이 크게 대두되고 있다. 특히, 익명화된 데이터라도 외부에서 수집된 보조 정보(예: 웹, 공공 기록, 도메인 지식)와 결합하면 개인을 재식별할 수 있다. 기존 연구는 주로 단일 데이터셋에 대한 링크 공격을 방어하는 기법(k‑익명성, ℓ‑다양성, t‑근접성 등)에 초점을 맞추었으며, 독립적인 여러 조직이 겹치는 인구에 대해 각각 익명화 데이터를 공개할 경우 발생할 수 있는 **조합 공격**에 대해서는 충분히 다루지 않았다. **2. 조합 공격 정의와 파티션 기반 스킴의 취약점** 조합 공격은 서로 독립적인 익명화 릴리즈를 이용해 동일 개인에 대한 민감 정보를 추론하는 방법이다. 파티션 기반 스킴은 두 가지 핵심 속성을 가진다. - **민감값 정확도**: 민감 속성은 원본 그대로 공개하고, 비민감 속성만 일반화한다. 따라서 각 동등 클래스에 포함된 민감값 집합이 정확히 알려진다. - **위치 추적 가능성**: 비민감 속성이 충분히 구체적이면, 외부 지식(예: 연령·우편번호·성별)만으로 대상이 속한 동등 클래스를 식별할 수 있다. 이 두 속성을 이용하면, 공격자는 A와 B 두 릴리즈에서 동일 개인이 속한 각각의 동등 클래스를 찾고, 두 클래스에 포함된 민감값 집합을 교차한다. 교차 결과가 하나의 값만 남으면 그 값이 대상의 실제 민감값이 된다. **3. 실험 설계 및 결과** 실험은 미국 인구 조사 데이터와 의료 데이터 두 가지 실제 데이터셋을 사용했다. 각각을 k‑익명성(k=4,6), ℓ‑다양성(l=2,3), t‑근접성(t=0.2) 등으로 익명화한 뒤, 두 독립적인 릴리즈에 대해 교차 공격을 수행했다. 주요 결과는 다음과 같다. - 전체 레코드 중 약 30%~45%가 교차 후 민감값이 유일하게 남아 완전 노출되었다. - 희귀 질환이나 특수 직업 등 민감값 분포가 균등하지 않은 경우, 노출 비율이 70% 이상에 달했다. - 비민감 속성을 일부만 일반화해도(예: 연령을 5세 구간으로) 위치 추적 가능성이 높아 교차 성공률이 크게 증가했다. 이 결과는 파티션 기반 스킴이 설계 단계에서 “민감값 분포 보존”과 “비민감 속성 일반화 수준”을 동시에 만족시키기 어려움을 보여준다. **4. 차등 프라이버시와 조합 보안성** 차등 프라이버시는 데이터베이스에 대한 질의 결과가 인접 데이터베이스(한 레코드 차이) 사이에서 ε 배 이하의 확률 비율 차이만을 허용한다. 논문은 차등 프라이버시가 **임의의 부가 정보에 대한 저항성**을 갖는 것을 베이지안 관점에서 정리한다. 즉, 공격자가 사전 지식 P(θ)와 외부 정보 E를 가지고 있더라도, 사후 확률 P(θ|E)와 P(θ'|E) 사이의 비율은 ε에 의해 제한된다. 또한, 차등 프라이버시와 그 완화 버전(예: (ε,δ)‑DP, “연속성”을 이용한 변형)도 **조합 보안성**을 만족한다. 여러 독립적인 릴리즈가 각각 ε₁, ε₂,…, εₙ-차등 프라이버시를 보장한다면, 전체 시스템은 ε₁+ε₂+…+εₙ-차등 프라이버시를 제공한다는 기존 합성 정리를 그대로 적용할 수 있다. 이는 서로 다른 조직이 독립적으로 데이터를 공개하더라도 전체 프라이버시 손실을 사전에 계산하고 관리할 수 있음을 의미한다. **5. 논의 및 향후 연구** 파티션 기반 스킴은 조합 공격에 취약하므로, 실제 환경에서 사용하려면 추가적인 보호 메커니즘(예: 무작위화, 다중 릴리즈 고려 설계)이 필요하다. 반면 차등 프라이버시는 강력한 이론적 보장을 제공하지만, 실용적인 정확도·유용성 트레이드오프가 존재한다. 향후 연구는 (1) 차등 프라이버시를 적용한 고효율 데이터 분석 기법 개발, (2) 파티션 기반 스킴에 무작위화 요소를 도입해 조합 저항성을 강화하는 방법, (3) 실제 조직 간 데이터 공유 시 정책·법적 프레임워크와 기술적 보장을 연결하는 통합 모델 구축 등을 제안한다. **6. 결론** 본 논문은 독립적인 익명화 릴리즈가 겹치는 인구를 포함할 때 발생할 수 있는 조합 공격을 체계적으로 분석하고, 파티션 기반 익명화 기법이 이러한 공격에 매우 취약함을 실증하였다. 반면 차등 프라이버시와 그 변형은 임의의 외부 지식과 다중 릴리즈에 대해 강력한 조합 보안성을 제공한다는 점을 증명하였다. 따라서 데이터 프라이버시를 실무에 적용할 때는 파티션 기반 스킴보다 차등 프라이버시 기반 설계가 모듈식·안전한 데이터 공유를 가능하게 한다는 중요한 교훈을 제공한다.