고위험 레코드 억제 기반 개인정보 보호 강화

초록

본 논문은 레코드 수준의 위험 측정 지표를 도입해 위험도가 높은 레코드만 선택적으로 억제(suppression)함으로써 공개 위험을 크게 낮추고, 나머지 레코드는 그대로 유지해 데이터 유틸리티를 극대화하는 새로운 프라이버시 보호 방법을 제안한다. 실제 1백만 건 규모의 교육·청소년·교정 데이터에 적용해 고위험 레코드 비율을 45% 감소시키고, 기존 k‑anonymity·ℓ‑diversity·t‑closeness 대비 NCP(정규화 확신 패널티) 손실을 최소화함을 실험적으로 입증한다.

상세 분석

이 논문은 기존 프라이버시 모델이 전체 레코드에 일괄적인 변환(일반화·전체 억제)을 적용함으로써 발생하는 과도한 정보 손실 문제를 근본적으로 재고한다. 저자들은 먼저 “위험 = 가능성 × 결과”라는 전통적인 위험 정의를 레코드 수준으로 확장한다. 여기서 가능성(likelihood)은 두 요소의 곱으로 계산된다: (1) adversary가 해당 속성 집합을 사전에 알고 있을 확률, (2) 해당 속성값이 데이터베이스 내에서 얼마나 드문가를 나타내는 역빈도. 결과(consequence)는 알려지지 않은 속성(민감 속성)의 민감도 가중치와 각 값의 민감도 가중치를 곱한 합으로 정의한다. 모든 속성에 대해 알려진/알려지지 않은 두 집합을 모든 가능한 부분집합(2^m)으로 나누어 위험을 계산하므로 이론적으로는 지수적 복잡도가 발생한다. 이를 완화하기 위해 저자들은 “가능성이 매우 낮은 알려진 집합”을 사전 제거하는 휴리스틱을 제시한다.

위험 측정이 완료되면, 사전에 정의한 임계값(예: 0.01)보다 높은 레코드를 고위험 레코드로 분류한다. 고위험 레코드마다 위험에 가장 크게 기여하는 알려진 속성 집합을 식별하고, 해당 속성값을 억제(삭제)한다. 억제는 값 자체를 삭제하는 방식이며, 억제된 값은 NCP 계산 시 최대 패널티(1)를 부여한다. 이렇게 하면 고위험 레코드만 선택적으로 변형되므로 전체 데이터의 구조와 통계적 특성은 크게 보존된다.

실험에서는 루이지애나 주의 교육·청소년·교정 기관에서 제공한 1,009,993개의 학생 레코드(27개 속성)와 19개의 민감 속성을 사용했다. 각 속성에 대해 공개 가능 확률과 민감도 가중치를 사전에 할당하고, α=100이라는 결과 가중치를 적용했다. 위험 계산 결과, 전체 레코드의 약 1.5%가 고위험으로 식별되었으며, 억제 후 고위험 비율은 0.85%로 45% 감소했다. NCP 측면에서는 ARX 툴을 이용해 k‑anonymity(다양한 k값), ℓ‑diversity, t‑closeness와 비교했을 때, 제안 방법이 가장 낮은 NCP 값을 기록해 정보 손실이 최소임을 확인했다.

하지만 논문은 몇 가지 한계도 인정한다. 억제로 인해 특정 값의 빈도가 감소하면 역빈도 항이 커져 일부 레코드의 위험 점수가 오히려 상승할 수 있다. 또한 위험 측정의 전제인 “공개 가능 확률”과 “민감도 가중치”는 데이터 제공자가 주관적으로 설정해야 하므로, 설정 오류가 전체 결과에 큰 영향을 미칠 가능성이 있다. 마지막으로, 모든 속성 조합을 고려하는 위험 계산은 대규모 데이터셋에서 여전히 계산 비용이 높으며, 제시된 휴리스틱이 실제 적용 시 충분히 효율적인지는 추가 연구가 필요하다.