연속 데이터 공개에서 개인 프라이버시를 위한 전역 보장 연구

초록

본 논문은 연속적으로 공개되는 데이터에서 민감 정보가 시간에 따라 변할 수 있는 경우를 고려하여, 개별 사용자가 어느 시점에서든 민감 값과 연결될 확률을 1/ℓ 이하로 제한하는 전역 프라이버시 보장을 정의한다. 이를 위해 그룹 크기가 프라이버시 위험에 미치는 영향을 이론적으로 분석하고, 평균 그룹 크기와 최대 그룹 크기를 최소화하는 두 가지 최적화 전략을 제안한다. 실험 결과는 의료 데이터에 적용했을 때 높은 효율성과 데이터 유용성을 동시에 달성함을 보여준다.

상세 분석

이 논문은 기존 연구가 주로 단일 릴리즈 혹은 민감 값이 지속적으로 존재한다는 가정 하에 ℓ‑다양성(l‑diversity) 기반의 로컬 보장을 제시한 것과 달리, 민감 값이 시간에 따라 자유롭게 변할 수 있는 ‘전이성 민감값(transient sensitive values)’ 상황을 모델링한다. 저자들은 전역 보장(global guarantee)을 “모든 공개된 릴리즈 중 최소 하나에서 개인이 특정 민감값과 연결될 확률이 1/ℓ 이하”라는 형태로 정의하고, 로컬 보장(localized guarantee)과는 별개의 요구조건임을 구체적인 예시와 가능한 세계(possible world) 분석을 통해 증명한다. 핵심 이론적 결과는 익명화 그룹의 크기가 전역 보장을 만족시키는 데 결정적인 역할을 한다는 점이다. 그룹 크기가 ℓ보다 크게 설정될 경우, 각 릴리즈별 ℓ‑다양성은 만족하지만 전체 릴리즈를 고려했을 때 연결 확률이 급격히 상승한다. 이를 방지하기 위해 저자들은 (1) 평균 그룹 크기를 최소화하는 최소 평균 그룹 크기(MinAvg) 전략과 (2) 최대 그룹 크기를 최소화하는 최소 최대 그룹 크기(MinMax) 전략을 수학적 최적화 문제로 공식화한다. 두 전략 모두 그룹 크기를 동적으로 조정하면서 데이터 일반화 수준을 최소화하도록 설계되었으며, 이는 정보 손실을 감소시켜 데이터 유용성을 유지한다. 실험에서는 실제 의료 데이터셋을 사용해 다양한 ℓ 값과 릴리즈 수에 대해 제안 알고리즘의 실행 시간, 그룹 크기 분포, 그리고 질의 정확도(aggregate query error)를 측정하였다. 결과는 제안 방법이 기존 k‑anonymity 기반 연속 공개 기법에 비해 동일한 프라이버시 수준에서 평균 그룹 크기를 약 20%~35% 감소시키고, 최대 그룹 크기도 크게 줄여 데이터 분석 정확도를 크게 향상시킴을 보여준다. 전체적으로 이 논문은 전역 프라이버시 보장을 위한 이론적 기반을 제공하고, 실용적인 알고리즘 설계와 실험을 통해 그 타당성을 입증함으로써 연속 데이터 공개 분야에 중요한 기여를 한다.