다중 사용자 퍼프시 프라이버시

초록

본 논문은 다중 사용자 시스템에서 개별 사용자의 보고값이 확률적일 때, 라플라스 노이즈를 칸토로비치 최적 수송 계획에 기반해 캘리브레이션함으로써 퍼프시 프라이버시를 달성하는 충분조건을 제시한다. 비밀 쌍 네 종류에 대해 조건을 도출하고, 특히 이진 베르누이 변수에 대해 노이즈량을 최소화하는 완화된 조건을 제시한다. 실험을 통해 사용자 추가·제거·교체 상황에서도 높은 데이터 유틸리티와 프라이버시 보장을 확인한다.

상세 분석

이 논문은 기존의 차등 프라이버시가 데이터 자체를 고정된 값으로 가정하는 한계를 넘어, 사용자가 보고하는 값이 확률 변수라는 전제 하에 퍼프시 프라이버시를 적용한다는 점에서 이론적 의의가 크다. 핵심 아이디어는 라플라스 메커니즘의 스케일 파라미터 θ를 비밀 쌍 (s_i, s_j) 사이의 1‑워시스테인 거리 W₁(s_i, s_j)와 프라이버시 예산 ε의 비율로 설정하는 것이다. 구체적으로, θ = (1/ε)·max_{(s_i,s_j)∈S} sup_{(x,x′)∈supp(π*)}|x−x′| 로 정의하고, 여기서 π는 두 사전 분포 P_{X|S}(·|s_i)와 P_{X|S}(·|s_j) 사이의 최적 수송 계획이다. 이 접근법은 기존의 ∞‑워시스테인 기반 방법이 비선형 최적화 문제를 야기하는 점을 피하고, 누적분포함수 F_X|S 를 이용해 π를 직접 계산할 수 있어 실용성이 높다.

논문은 세 가지 사용자 변동 시나리오를 다룬다. 첫째, 사용자가 보고값을 바꾸는 경우는 비밀을 구체적인 값 v 와 v′ 로 정의하고, 두 값 사이의 절대 차이가 θ 의 하한이 된다. 둘째, 사용자의 존재·부재를 비밀 쌍으로 모델링하면, 부재를 ‘0’값 보고와 동일시함으로써 동일한 조건이 적용된다. 셋째, 사용자가 다른 통계적 특성을 가진 사용자로 교체되는 경우에는 두 사용자의 분포 차이(기대값, 누적 질량 함수 등)를 이용해 W₁ 거리를 계산한다. 특히 이진 베르누이 변수에 대해서는 |p_i−p_j| 와 같은 간단한 차이만으로 충분조건을 완화시켜, 기존보다 작은 θ 값으로 동일한 ε‑프라이버시를 달성한다.

실험에서는 세 개의 실제 데이터셋(예: 의료 기록, 위치 데이터, 소셜 네트워크)에서 라플라스 노이즈를 적용했을 때, 제안된 충분조건이 만족되는 경우와 만족되지 않는 경우를 비교한다. 결과는 제안 방법이 사용자 추가·제거·교체 상황에서도 평균 오류를 최소화하면서 ε‑퍼프시 프라이버시를 보장함을 보여준다. 또한, 참석 확률 ζ_i 가 조건식에 등장하지 않음에도 불구하고, 실제 시뮬레이션에서 다양한 ζ_i 값에 대해 안정적인 프라이버시 보호가 관찰된다.

이 논문의 주요 기여는 (1) 다중 사용자 환경에서 개별 사용자의 통계적 특성만을 고려해 라플라스 노이즈를 캘리브레이션하는 일반적 프레임워크 제시, (2) 비밀 쌍 네 종류에 대한 구체적 충분조건 도출, (3) 이진 변수에 대한 완화된 조건을 통해 실용적인 노이즈 감소, (4) 실험을 통한 이론 검증이다. 특히, 프라이버시 보장이 특정 사용자에 국한된다는 “사용자 독립성” 특성은 기존 차등 프라이버시와 대비되는 중요한 차별점이다.