병원 창구에서 시작하는 이야기
당신이 병원 진료 기록을 가진 데이터 관리자라고 상상해보자. 연구자들이 계속 찾아와 질문한다. "60대 고혈압 환자가 몇 명인가요?" "그중 흡연자는?" "그중 당뇨도 있는 사람은?" 질문은 이전 답변을 기반으로 점점 더 좁혀진다. 각 질문에 답할수록 특정 환자를 특정할 수 있는 정보가 조금씩 쌓인다. 어느 순간 연구자는 이름을 묻지 않고도 "그 사람 김씨 아닌가요?" 하고 맞힐 수 있게 된다.
이것이 바로 프라이버시 합성(privacy composition) 문제다. 한 번의 질문은 안전하더라도, 누적된 질문은 개인의 정보를 서서히 드러낸다. 이 논문은 그 '서서히'라는 과정을 훨씬 정밀하게 추적하는 방법을 제안한다.
차등 프라이버시: 안개를 만드는 기계
먼저 현대 프라이버시 보호의 핵심 개념인 차등 프라이버시(differential privacy, DP)를 이해해야 한다. 비유를 들자면, 이것은 사진을 찍기 전에 안개 기계를 틀어두는 것과 같다. 사진에는 여전히 사람들이 이동하는 패턴이 찍히지만, 특정 인물의 얼굴은 뭉개진다. 다시 말해, 데이터에 의도적인 잡음(noise)을 추가해서 "이 데이터베이스에 당신이 있든 없든, 질의 결과는 거의 비슷하다"는 수학적 보장을 제공한다.
이 안개의 농도를 ε(엡실론)이라는 숫자로 표현한다. ε이 작을수록 안개가 짙어서 개인 정보가 잘 보호되지만, 통계 분석의 정확도는 떨어진다. ε이 크면 안개가 옅어서 분석은 정밀해지지만 프라이버시 보호는 약해진다.
문제는 안개를 한 번만 쓰는 게 아니라는 점이다.
프라이버시 예산: 한 번 쓰면 사라지는 연료
여러 번 질의가 이루어질 때, 각각의 안개 분사는 전체 프라이버시 예산을 조금씩 소모한다. 이걸 은행 계좌에 비유할 수 있다. 처음에 일정한 프라이버시 포인트를 충전해두고, 질의가 발생할 때마다 조금씩 인출된다. 잔고가 0에 가까워지면 더 이상 질의에 응답할 수 없다.
이 잔고를 추적하고 "이제 그만"이라고 문을 닫는 시스템을 프라이버시 필터(privacy filter)라고 부른다. 마치 집의 차단기처럼, 전류가 과부하에 걸리면 자동으로 전원을 차단하는 것과 같다.
Figure 1: Adaptive data privacy problem
그런데 기존 방법에는 근본적인 낭비가 있다.
최악의 경우만 가정하는 비관주의자
기존 프라이버시 필터는 메커니즘 수준(mechanism-level) 회계를 사용한다. 이것이 어떤 문제를 일으키는지 이런 비유로 생각해보자.
당신이 회사 경비 담당자이고, 직원 열 명이 출장을 떠났다고 하자. 각 직원에게 하루 최대 10만 원을 쓸 수 있다고 허용했다. 메커니즘 수준 회계를 쓰는 경비 담당자는 영수증을 받기 전부터 "다들 10만 원씩 다 썼겠지"라고 가정하고 장부에 100만 원을 기록한다. 실제로 어떤 직원은 3만 원을 썼고 어떤 직원은 7만 원을 썼더라도, 예산은 이미 다 소진된 것으로 처리된다.
이건 안전하지만 어마어마하게 보수적이다. 실제 지출보다 훨씬 빨리 예산이 바닥난다. 그러면 문을 너무 일찍 닫게 된다. 더 많은 연구를 수행할 수 있었음에도 "예산 초과"라고 오판하여 유용한 데이터 공개가 중단된다.
실제 영수증을 보는 회계사
이 논문이 제안하는 것은 실현 수준(realisation-level) 회계다. 각 질의가 실제로 얼마나 많은 프라이버시를 소모했는지, 즉 실제 잡음이 어떻게 적용되었는지를 매 라운드마다 직접 추적하는 것이다. 아까 비유를 이어가자면, 각 직원이 돌아오는 즉시 영수증을 확인해서 실제 지출을 장부에 적는 방식이다.
이 방법이 왜 강력한가? 차등 프라이버시에서 추가되는 잡음은 확률적이다. 운이 좋을 때는(즉, 잡음이 크게 적용될 때는) 실제로 새어나간 정보가 이론적 최악의 경우보다 훨씬 적다. 최악을 가정하는 대신 실제 상황을 보면, 예산이 훨씬 오래 지속된다.
그런데 이게 왜 어렵냐고? 수학적으로 심각한 함정이 있다. 실제 결과를 보고 난 뒤에 "이만큼 샜다"고 계산하는 것은 마치 동전을 던지고 나서 "앞이 나올 확률이 얼마였나"를 다시 계산하는 것처럼 보인다. 결과를 이미 알고 있으면 확률 계산이 오염된다. 수학 용어로는 '조건화(conditioning)'가 이루어졌다고 한다. 이 조건화가 정지 시점(언제 문을 닫을지)과 뒤얽히면 증명이 극도로 까다로워진다.
연구팀은 마팅게일(martingale)이라는 수학적 도구를 활용해 이 함정을 피해간다. 마팅게일은 도박사의 수지를 분석할 때 쓰는 개념이다. 어떤 전략을 쓰더라도 기댓값이 변하지 않는다는 성질을 이용해서, "실제 결과를 봐도 전체 프라이버시 보장은 무너지지 않는다"는 걸 증명한다. 이 증명이 이 논문의 핵심 기술적 기여다.
결과: 더 오래, 더 많이
실제로 얼마나 이득일까? 아래 그래프는 그 차이를 보여준다.
Figure 2: Stopping time survival P(T≥t) of mechanism-level privacy filters compared with our realisation-level privacy filter.
가로축은 질의 횟수, 세로축은 "아직 문이 열려 있을 확률"이다. 기존 메커니즘 수준 필터들은 일찍 급락하지만, 이 논문이 제안한 실현 수준 필터(실선)는 훨씬 오랫동안 높은 확률을 유지한다. 같은 프라이버시 예산으로 더 많은 질의를 허용한다는 뜻이다.
또한 기존 프라이버시 회계 방식 중 하나인 레니 차등 프라이버시(Rényi DP)는 특정 메커니즘(이상하게 행동하는 잡음 분포 등)에서는 아예 적용이 불가능하다. 그런 상황에서도 이 논문의 방법은 임의의 메커니즘에 보편적으로 작동한다는 것이 또 하나의 강점이다.
일상이 어떻게 달라지나
이 연구가 실제 시스템에 적용된다면 가장 먼저 혜택을 받는 것은 연합 학습(federated learning)이다. 스마트폰이 개인 사진이나 텍스트를 서버에 올리지 않고 로컬에서 AI를 학습시키면서, 서버에는 업데이트된 모델 파라미터만 전송하는 방식이다. 이 과정에서 수천 번의 라운드 동안 프라이버시 예산이 소모된다. 기존 방법은 이 예산을 너무 빨리 소진해 학습이 일찍 끊기거나, 모델 정확도가 떨어지는 문제를 낳는다. 실현 수준 회계가 적용되면 같은 예산으로 더 긴 학습이 가능해지고, 결국 당신 손 안의 AI 비서가 더 똑똑해질 수 있다.
병원 연구 데이터도 마찬가지다. 희귀 질환 연구자들은 제한된 환자 데이터로 최대한 많은 분석을 뽑아내야 한다. 지금은 프라이버시 예산이 빨리 닳아 충분한 통계를 얻지 못하는 경우가 많다. 실현 수준 필터를 쓰면 같은 데이터에서 더 많은 인사이트를 안전하게 끌어낼 수 있다.
남은 질문들
이 연구가 아직 해결하지 못한 부분도 솔직히 봐야 한다. 논문이 보여주는 증거는 주로 수치적(numerical)이다. "이론적으로 얼마나 나은가"에 대한 완전히 닫힌 수학적 분석은 아직 열린 문제로 남아 있다. 실현 수준 회계가 실제 구현에서 계산 비용이 얼마나 드는지, 실시간 시스템에 통합될 때 지연(latency)이 얼마나 발생하는지도 아직 충분히 검토되지 않았다.
그리고 한 가지 철학적 의문이 남는다. 실제 잡음이 '좋게' 실현된 덕분에 더 많은 질의가 가능해졌다면, 악의적인 공격자도 운 좋은 상황을 노릴 수 있지 않을까? 물론 연구팀은 전체적인 DP 보장이 유지된다고 수학적으로 증명했다. 하지만 공격자가 이 '운'을 체계적으로 유도할 방법이 있는지는 여전히 검토가 필요한 지점이다.
최악의 경우만 가정하는 것은 비효율적이다. 하지만 실제 결과를 보는 것은 수학을 복잡하게 만든다. 이 논문은 그 사이 어딘가에서 실용적인 균형점을 찾으려 한 시도다. 안개 기계를 필요한 만큼만, 정확히, 효율적으로 쓰는 방법을 향한 작은 전진.
태그: 차등프라이버시, 데이터보호, 연합학습, 프라이버시필터
📄 원문: https://arxiv.org/abs/2604.08630
🌐 English version on Dev.to: https://dev.to/xoqhdgh1002/reading-the-receipts-how-smarter-privacy-accounting-could-unlock-more-from-sensitive-data-6jh
