위험 균등화 차등 프라이버시 합성 데이터: 이상치 보호를 위한 기록 수준 영향 제어

초록

본 논문은 합성 데이터 생성 과정에서 드물거나 특이한 레코드(이상치)의 개인정보 위험을 감소시키기 위해 두 단계의 차등 프라이버시 메커니즘을 제안한다. 첫 단계에서는 제한된 프라이버시 예산으로 각 레코드의 “이상치 점수”를 추정하고, 두 번째 단계에서는 이 점수에 역비례하도록 레코드 가중치를 부여해 학습기에 대한 영향력을 조절한다. 가중치를 적용한 DP‑SGD 혹은 가우시안 통계 공개를 통해 레코드별 프라이버시 손실 ε_i 를 이론적으로 제한할 수 있음을 증명하고, 실험을 통해 이상치에 대한 멤버십 추론 공격 성공률이 크게 낮아짐을 확인한다.

상세 분석

이 논문은 차등 프라이버시(DP)가 제공하는 전역적인 ε‑δ 보장이 실제 데이터에서 레코드마다 균등하게 적용되지 않는다는 점을 출발점으로 삼는다. 특히 의료나 금융과 같이 희귀 질환·특수 거래와 같은 이상치가 존재하는 도메인에서는, 이러한 레코드가 합성 데이터에 거의 유일하게 나타나면서 공격자가 보조 정보를 활용해 쉽게 재식별할 수 있다. 기존 연구들은 이러한 현상을 실증적으로 보여주었지만, 보호 강화를 위한 메커니즘 설계는 부족했다.

논문은 두 단계로 구성된 REPS(Risk‑Equalized Private Synthesis) 프레임워크를 제안한다. 첫 단계에서는 작은 프라이버시 예산(ε_s, δ_s)으로 히스토그램 기반 혹은 DP‑kNN 등 다양한 방법을 이용해 각 레코드의 “이상치 점수”(outlierness)를 추정한다. 이 점수는 레코드가 전체 분포에서 얼마나 희귀한지를 나타내는 로그‑밀도 혹은 거리 기반 지표이며, DP 메커니즘을 통해 노이즈가 추가된 후에도 충분히 구별력을 유지한다.

두 번째 단계에서는 추정된 점수 b_s_i 를 가중치 함수 g에 입력해 w_i ∈ (0,1]을 산출한다. 가중치 함수는 cap 형태( w_i = min{1, τ/(b_s_i+τ) }) 혹은 hinge‑exp 형태( w_i = exp(−γ(b_s_i−t)) ) 등으로 설계될 수 있으며, 점수가 클수록 가중치가 작아져 레코드의 학습 기여도가 감소한다. 이때 레코드별 기여도는 클리핑 연산 C와 결합되어 L2‑민감도(ℓ_2‑sensitivity)를 제어한다.

핵심 이론적 기여는 가중치가 적용된 경우 레코드 i의 프라이버시 손실 ε_i 가 w_i·α_i (α_i는 클리핑 후의 기여도 상한) 에 비례한다는 정리이다. 따라서 w_i 를 적절히 선택하면 고위험 레코드에 대해 ε_out < ε 전역 한계를 강제로 부과할 수 있다. 전체 메커니즘은 두 단계의 DP 보장을 독립적으로 합성(composition)함으로써 (ε_s+ε_t, δ_s+δ_t)‑DP를 만족한다.

실험에서는 (1) 인위적으로 이상치를 삽입한 합성 데이터셋, (2) 실제 의료·신용 데이터셋(Breast Cancer, Adult, German Credit)을 사용했다. 멤버십 추론 공격은 기존 DP‑GAN, PrivBayes 등과 비교했을 때, 이상치 그룹에 대한 성공률이 30%~50% 포인트 감소했으며, 전체 유틸리티(통계적 거리, downstream 모델 정확도)는 가중치를 적용하지 않은 경우와 거의 차이가 없었다. 또한 가중치를 무작위로 할당한 경우에는 보호 효과가 미미함을 보이며, 위험 기반 가중치가 핵심임을 입증했다.

이 논문은 기존 per‑instance DP 연구와 차별화된다. 기존 연구는 사후 분석을 통해 레코드별 ε_i 를 계산했지만, 보호 정책을 설계에 반영하지는 않았다. REPS는 위험 점수를 사전 측정하고, 이를 기반으로 학습 과정 자체를 조정함으로써 “위험 균등화”라는 새로운 목표를 구현한다. 또한 ε‑PrivSMOTE와 달리 레코드를 삭제하거나 대체하지 않고, 가중치를 통해 정보 손실을 최소화하면서도 프라이버시를 강화한다.

한계점으로는 (1) 위험 점수 추정에 사용되는 DP 예산이 전체 예산에 비해 상대적으로 작아야 하므로, 점수 정확도가 데이터 차원에 따라 제한될 수 있다. (2) 가중치 함수 설계가 도메인에 따라 튜닝이 필요하며, 최적의 τ, γ, t 파라미터를 찾는 자동화된 방법이 아직 제시되지 않았다. (3) 현재는 주로 테이블형 데이터에 초점을 맞추었으며, 이미지·시계열 등 고차원 연속 데이터에 대한 확장은 추가 연구가 요구된다.

전반적으로 REPS는 이상치가 차지하는 프라이버시 위험을 정량화하고, 이를 메커니즘 설계에 직접 반영함으로써 차등 프라이버시의 실용성을 크게 확장한다는 점에서 의미가 크다.