통합 마이크로데이터 프라이버시 위험 측정

초록

본 논문은 개인 식별 위험과 민감 정보 노출 위험을 동시에 고려한 새로운 마이크로데이터 공개 위험 지표를 제안한다. 공개된 속성의 공개 가능성 확률과 속성값의 희소성을 결합한 ‘가능성’과, 민감 속성 및 값에 부여한 가중치를 이용한 ‘결과’를 곱해 레코드 수준 위험을 산출한다. 모든 속성 조합을 탐색하되, 공개 확률이 낮은 조합을 사전 가지치기하여 계산 효율성을 확보한다. 실제 교육·청소년·교정 데이터 100만 건에 적용해 위험 분포를 분석하고, 위험이 높은 레코드 비율을 감소시키는 방안을 제시한다.

상세 분석

이 연구는 기존 통계적 공개 제어(SDC)와 프라이버시 보존 데이터 공개(PPDP) 분야에서 제기된 두 가지 근본적 한계를 동시에 해소한다. 첫째, 기존 위험 지표는 신원 식별 위험과 속성 노출 위험을 별도로 측정했으며, 이를 통합하는 메트릭이 없었다. 논문은 위험 = 가능성 × 결과라는 전통적인 위험 평가 프레임을 차용해, ‘가능성(Likelihood)’을 신원 식별 관점에서, ‘결과(Consequence)’를 민감 정보 노출 관점에서 정의한다. 가능성은 두 부분으로 구성된다. (1) 공격자가 사전에 알고 있을 가능성이 높은 속성 집합(Known set)의 공개 확률을 곱한 값이며, (2) 해당 속성값 조합이 데이터 전체에서 얼마나 희소한지를 나타내는 역빈도(1/occurrence)이다. 이는 공격자가 특정 속성 집합을 알더라도, 그 조합이 흔하면 식별 확률이 낮아진다는 현실을 반영한다.

결과는 알려지지 않은 속성 집합(Unknown set)에 포함된 각 속성 및 값에 부여한 민감도 가중치(Sensitivity Weight)를 합산해 산출한다. 여기서 가중치는 0~1 사이의 실수이며, 데이터 제공자가 사전 지식이나 정책에 따라 자유롭게 설정할 수 있다. 또한, 속성 자체와 값 각각에 별도 가중치를 부여함으로써, 예를 들어 ‘소득’은 구간별로 다른 민감도를 갖게 할 수 있다.

핵심적인 기술적 기여는 모든 가능한 Known/Unknown 속성 조합을 고려한다는 점이다. n개의 속성이 있을 때 2ⁿ개의 조합이 존재하지만, 논문은 ‘공개 확률이 ε 이하인 조합은 상위 조합에서도 확률이 더 낮아진다’는 단조성(monotonicity) 성질을 이용해 전위(pre‑order) 트리 탐색 중 가지치기(pruning) 알고리즘을 설계한다. 이를 통해 실제 27개의 속성을 가진 1,009,993개의 레코드 데이터셋에서도 초기 2²⁷≈1.34억 개의 조합을 111개의 유의미한 조합으로 축소하였다.

실험에서는 공개 확률과 민감도 가중치를 도메인 전문가가 직접 할당하고, 결과 계수 α를 100으로 설정해 결과의 영향력을 확대하였다. 위험값 히스토그램을 통해 전체 레코드 중 약 1.55%가 위험값 0.01을 초과함을 확인했으며, 이는 비식별화(Anonymization) 기법 적용 전후의 위험 감소 효과를 정량화하는 기준점으로 활용될 수 있다. 또한, 위험이 높은 레코드에 대해 선택적 속성 마스킹이나 일반화 기법을 적용함으로써 위험을 추가적으로 낮출 수 있음을 시사한다.

이와 같이 제안된 위험 측정은 (1) 신원 식별과 속성 노출을 하나의 통합 지표로 제공, (2) 공격자의 사전 지식 모델을 확률적·유연하게 표현, (3) QID와 SA의 겹침을 허용, (4) 계산 복잡도를 효율적인 가지치기로 제어한다는 장점을 가진다. 향후 연구에서는 자동화된 가중치 학습, 다중 공격자 시나리오, 그리고 다양한 데이터 도메인에 대한 적용 가능성을 탐색할 여지가 있다.