프라이버시 정책 목적 요구의 의미론적 모델링과 감사 자동화

초록

본 논문은 개인정보 보호 정책에서 요구되는 “목적” 제약을 형식적으로 정의한다. 계획 이론에 기반한 수정된 마코프 결정 과정(MDP)을 이용해 행동이 특정 목적을 위한 것인지 판단하고, 중복 행동을 배제하는 비중복성 정의를 도입한다. 이를 바탕으로 목적‑전용(only‑for)과 금지(not‑for) 요구를 자동 감사하는 알고리즘을 제시하고, 기존 방법들을 동일한 프레임워크에서 비교·분석한다.

상세 분석

이 연구는 프라이버시 정책의 핵심 요소인 “목적”을 정량적·형식적으로 해석하려는 최초 시도라 할 수 있다. 저자들은 행위자가 목표를 달성하기 위해 수립하는 계획을 모델링함으로써, 행위가 해당 목적에 귀속되는지를 판단한다. 이를 위해 전통적인 마코프 결정 과정(MDP)을 수정해 보상 함수가 목적 달성 정도를 나타내게 하고, “비중복(non‑redundant)” 행동을 정의한다. 비중복성은 특정 행동을 제거했을 때 목표 달성이 불가능해지는 경우를 의미하며, 이는 단순히 필요성(necessity)보다 약한 조건이지만, 실제 감사 상황에서 목적‑연관성을 판단하는 실용적 기준이 된다. 논문은 목적 요구를 “금지형(not‑for)”과 “제한형(only‑for)” 두 클래스로 구분하고, 각각에 대해 행동이 목적에 부합하는지 여부를 MDP 최적 계획과 비교한다. 특히, 감사자는 행위자의 내부 계획을 직접 관찰할 수 없으므로, 관찰 가능한 로그와 모델이 생성하는 모든 가능한 행동 시퀀스를 교차 검증한다. 이 과정에서 제시된 알고리즘은 로그에 나타난 행동이 어떤 목적의 최적 계획에 포함되는지를 검사해 위반 여부를 결정한다. 또한, 다중 목적 상황에서 행동이 여러 목적에 동시에 기여할 수 있음을 인정하고, 비중복성 정의를 확장해 복합 목적 분석을 시도한다. 기존 연구들은 목적 라벨링을 전제하거나 직관에 의존했지만, 본 논문은 계획 기반 의미론을 통해 라벨링 없이도 목적 판단이 가능함을 보인다. 한계점으로는 인간 계획 모델링의 불완전성, 상태 공간의 폭발적 증가, 그리고 정량적 목적(예: 마케팅 효과) 평가의 어려움이 제시된다. 향후 연구에서는 보다 정교한 인지 계획 모델이나 강화학습 기반 접근을 도입해 현재의 MDP‑형식화를 보완할 여지가 있다.