두 번 생각하고 뛰어라 로컬 적대적 익명화의 합리적 에이전트 프레임워크

초록

본 논문은 대형 LLM API에 의존하는 기존 텍스트 익명화 방법이 초래하는 프라이버시 역설을 해결하고자, 로컬 작은 규모 모델(LSM)에서도 효율적인 익명화를 가능하게 하는 훈련‑무료 프레임워크 RLAA를 제안한다. 공격자‑중재자‑익명화기(A‑A‑A) 구조와 ‘한계 비용 대비 프라이버시 이득’(MPG/MUC) 개념을 도입해 탐욕적 공격 전략의 비합리성을 교정하고, 조기 중단 기준을 통해 유틸리티 붕괴를 방지한다. 실험 결과 RLAA가 다양한 베이스 모델과 데이터셋에서 기존 최첨단 방법보다 우수한 프라이버시‑유틸리티 균형을 달성함을 보인다.

상세 분석

RLAA는 기존 피드백‑기반 적대적 익명화(FgAA)에서 나타나는 두 가지 근본적 문제를 정확히 짚어낸다. 첫째, 강력한 LLM을 API 형태로 호출함으로써 원본 텍스트가 제3자에게 노출되는 ‘프라이버시 패러독스’가 발생한다. 둘째, 동일한 프레임워크를 로컬의 소형 모델(LSM)로 단순 이식할 경우, 모델의 제한된 추론 능력과 환각 현상 때문에 탐욕적 업데이트가 연속적으로 이루어져 ‘유틸리티 붕괴’를 초래한다. 논문은 이를 경제학적 관점에서 재해석한다. 각 익명화 단계 t를 거래로 보고, 프라이버시 이득(ΔPₜ)과 유틸리티 손실(ΔCₜ)을 각각 MPG와 MUC라 정의한다. 이때 한계 대체율(MRSₜ = ΔCₜ/ΔPₜ)이 사전에 설정된 비용 한계 λ를 초과하면 비합리적이라 판단한다. 기존 탐욕적 전략은 MRSₜ가 급격히 증가해 λ를 크게 초과함으로써 ‘죽은 무게 손실(deadweight loss)’ 상태에 빠진다. RLAA는 이러한 비합리성을 차단하기 위해 ‘중재자(Arbitrator)’를 도입한다. 중재자는 공격자의 추론 결과를 메타‑리추얼링 방식으로 검증하고, MPG가 충분히 크지 않은 경우 해당 피드백을 무시한다. 즉, “프라이버시 이득이 미미하면 비용을 지불하지 않는다”는 원칙을 구현한다. 이 구조는 두 가지 중요한 효과를 만든다. 첫째, 불필요한 편집을 차단해 텍스트의 의미적 풍부함을 보존한다(유틸리티 유지). 둘째, 실제 누출이 존재할 때만 편집 예산을 소모함으로써 전체 프라이버시 보호 효율을 극대화한다. 실험에서는 Llama‑3‑8B, Qwen2.5‑7B, DeepSeek‑V3.2‑Exp 등 다양한 LSM에 RLAA를 적용했으며, 기존 FgAA와 SEAL을 포함한 7개 베이스라인 대비 평균 MRS가 30 % 이상 감소하고, 유틸리티 점수는 15 % 이상 향상되는 결과를 얻었다. 특히 Reddit‑Self‑Disclosure 데이터셋에서는 프라이버시 위험을 0.12 이하로 낮추면서도 원문과의 BLEU 점수가 0.78에 달해 ‘파레토 우위’를 달성했다. 이러한 결과는 ‘합리적 에이전트’ 설계가 모델 규모와 무관하게 안정적인 프라이버시‑유틸리티 트레이드오프를 제공한다는 강력한 증거가 된다.