프라이버시 보장 주성분 벡터 계산 프로토콜

초록

본 논문은 여러 반정직 파티가 보유한 데이터 행렬의 주성분(주특잇값) 벡터를, 데이터 유출 없이 공동으로 계산할 수 있는 프로토콜을 제안한다. 가법 동형암호와 반정직 중재자를 이용해 데이터는 암호화된 채로 전송되고, 전력 반복법을 활용해 효율적인 계산이 가능하도록 설계되었다. 무작위화와 난독화 기법을 추가해 중간 결과로부터 파티 간 데이터 특성을 추정하기 어렵게 만든다. 정확성, 보안성, 효율성을 이론적으로 분석하고 실험을 통해 기존 QR 기반 방법보다 뛰어난 성능을 입증한다.

상세 분석

이 논문은 다수의 데이터 소유자가 각자 행렬 형태의 로컬 데이터를 보유하고 있으면서, 해당 데이터들의 공통 주성분(최대 고유벡터)을 공동으로 구하고자 하는 상황을 모델링한다. 기존 연구들은 각 파티의 데이터 상관행렬을 암호화한 뒤 QR 분해를 수행하는 방식으로 정확성을 확보했지만, QR 분해는 연산 복잡도가 O(n³) 수준으로 대규모 차원에서 비현실적이었다. 저자들은 이러한 한계를 극복하기 위해 전력 반복(Power Iteration) 알고리즘을 채택한다. 전력 반복은 행렬-벡터 곱셈만을 반복 수행하면 되므로, 동형암호 하에서 가법 동형암호(Additive Homomorphic Cryptosystem)를 이용해 암호화된 벡터와 행렬을 효율적으로 곱할 수 있다.

프로토콜은 세 단계로 구성된다. 첫째, 각 파티는 자신의 데이터 행렬 A_i를 가법 동형암호로 암호화하고, 무작위 스칼라 r_i를 곱해 난수화한다. 둘째, 반정직 중재자(Arbitrator)는 모든 암호화된 행렬을 합산하여 전체 상관행렬 Σ = Σ_i A_i^T A_i 를 암호화된 형태로 얻는다. 이때 중재자는 암호문에 추가적인 난수 벡터를 삽입해 중간 결과가 특정 파티의 데이터와 직접 연결되지 않도록 한다. 셋째, 전력 반복을 수행한다. 중재자는 현재 추정 벡터 v_k 를 암호화된 형태로 받아 Σ·v_k 를 동형연산으로 계산하고, 결과를 각 파티에게 전달한다. 각 파티는 자신의 비밀키로 복호화한 뒤 정규화 과정을 거쳐 v_{k+1} 을 얻고, 이를 다시 암호화해 중재자에게 보낸다. 이 과정을 수렴할 때까지 반복한다.

보안 측면에서 저자들은 반정직 모델을 가정한다. 즉, 파티와 중재자는 프로토콜을 정직하게 수행하지만, 자신이 받은 모든 암호문과 중간 결과를 분석해 다른 파티의 데이터 특성을 추론하려 할 수 있다. 이를 방지하기 위해 무작위 스칼라와 난수 벡터를 도입해 선형 관계를 숨기고, 각 반복마다 새로운 난수를 사용해 통계적 연관성을 최소화한다. 또한, 동형암호 자체가 시멘트된 연산만을 허용하므로, 평문 연산이 노출될 위험이 근본적으로 차단된다.

정확성에 대해서는 전력 반복이 수렴 조건을 만족하면 원래의 최대 고유벡터와 임의 스케일 차이를 제외하고 동일함을 보인다. 암호화된 상태에서도 동일한 선형 연산이 보존되므로, 수렴 속도와 정확도는 기존 전력 반복과 동일하게 유지된다.

효율성 분석에서는 암호화·복호화 비용, 동형연산 비용, 통신량을 정량화한다. 가법 동형암호는 암호문 크기가 평문 대비 일정 배수(보통 24배)이며, 행렬-벡터 곱셈은 O(n²) 연산으로 구현된다. 실험 결과, 차원 5002000인 경우 QR 기반 방법에 비해 5~12배 빠른 실행 시간을 기록했으며, 통신량도 30% 이상 절감되었다.

전체적으로 이 논문은 고차원 데이터 분석에서 프라이버시를 보장하면서도 실용적인 성능을 제공하는 새로운 프레임워크를 제시한다. 전력 반복과 동형암호의 결합은 향후 다른 선형 대수 기반 머신러닝 알고리즘에도 확장 가능성을 시사한다.