ITPE Momentum

[정의] 데이터 소유자의 프라이버시를 침해하지 않으면서도 데이터에 함축적으로 들어 있는 지식이나 패턴을 찾아내는 기술(출처: TTA) 

[연구유형] 실용적PPDM, SMC기반 PPDM
-실용적인 프라이버시 보존형 데이터 마이닝 (실용적 PPDM) : 원래의 데이터에 노이즈를 더해주거나 다른 종류의 랜덤화를 적용 시키는 것. 다양한 통계적 데이터를 위해서 널리 사용. 높은 안전성을 요하는 응용에는 적절하지 못함.
- Secure Multi-party Computation(SMC) 기반 프라이버시 보존형 데이터 마이닝 (SMC 기반 PPDM) : 데이터 마이닝에SMC 기술 적용. 모든 개체는 자신의 입력과 계산 결과 이외엔 어떠한 정보도 얻을 수 없음.데이터 변형이 전혀 없는 것으로 가정. 계산 효율성이 매우 낮기 때문에 아직까지 실용적이지 못한 한계.

[주요기법]
1) 랜덤 노이즈 추가기법: 프라이버시에 민감한 원본 데이터 대신 노이즈 추가하여 교란된 데이터만을 공개하는 기법.(데이터 상관관계 활용, 노이즈 평준화, 영역기반교란기법)
2) 압축기반 교란기법: 시계열 데이터를 낮은 차원의 새로욲 특성공간에 매핑 후 빠른 검색을 위해 R-트리와 같은 다차원 트리로 인덱스하는 변환(Transformation) 기반의 교란기법. 높은 정확도로 유클리디안 거리를 보존하므로 자주 활용됨(DFT(이산 푸리에 변환) 기법, DWT(이산 웨이블릿 변환) 기법)
3) 기하학적 교란기법: 데이터 간 상관관계 및 민감 속성 보호. 노이즈 추가, 압축기반 교란 기법의 단점인 데이터 간 상관관계 無고려 문제 보완.
4) k-익명화: 주어진 데이터 집합에서 준식별자 속성값들이 동일한 레코드가 적어도 k 개 존재하도록 하는 연결공격(Linkage Attack) 방어형 프라이버시 보호 모델
5) 분산 프라이버시: 분산된 데이터를 각 노드 별로 마이닝하고 그 결과를 최종 노드에서 집계하여 결과를 도출하는 기법.

1. K-익명성

[정의] 주어진 데이터 집합에서 준식별자 속성값들이 동일한 레코드가 적어도 K개 존재하도록 하는 연결공격(Linkage Attack) 방어형 프라이버시 보호 모델

[필요성] 개인식별 위험 증가, 개인정보 침해 최소화

[내용] 특정인임을 추론할 수 있는지 여부를 검토, 일정 확률수준 이상 비식별 되도록 함.

(동일한 값을 가진 레코드를 k개 이상 으로 함. 이 경우 특정 개인을 식별할 확률은 1/k임)

[추가적인 평가모델] k익명성, l다양성, t근접성

[재식별 공격기법과 프라이버시 보호 모델]
-연결공격: 비식별조치된 결과와 다른 공개데이터간 결합을 통해 개인을 식별하는 공격.(‘k-익명성’으로 검토)
-동질성공격: 범주화된 k-익명성 데이터 집합에서 동일한 정보를 이용하여 대상의 정보를
알아내는 공격 (‘l-다양성’으로 검토)
-배경지식공격: 공격자의 배경 지식을 통해 대상의 민감정보를 알아내는 공격(‘l-다양성’으로 검토)
-쏠림공격: 정보가 특정한 값에 쏠려있는 경우 확률적으로 대상의
민감 정보를 추론할 수 있는 공격(‘t-근접성’으로 검토)
-유사성공격: 비식별 조치된 정보가 서로 다르지만 의미상 유사하다면 민감 정보를 유추할 수 있는 공격
(‘l-다양성’으로 검토)

2. L-다양성

[정의] 주어진 데이터 집합에서 함께 익명화 되는 레코드들(동질집합)은 적어도 L개의 서로 다른 민감정보를 가져야한다는 프라이버시 보호모델

[내용] 특정인 추론이 안된다고 해도 민감한정보 와 다양성을 높여 추론 가능성을 낮추는 기법.
(각 레코드는 최소 1개 이상의 다양성을 가지도록 하여 동질성 또는 배경 지식 등에 의한 추론 방지)

[구현방법] 익명화 과정에서 동질집합 내 민감정보는 L개 이상의 서로 다른 정보를 갖도록 구성

[사례] 

- 부하직원인 홍길동이 사는 동네(우편번호13490),나이(41세),성별(남)을 알고 있는 경우 R1, R2중
하나가 홍길동임을 알 수 있고, 동질집합 내 병명이 당뇨로 민감정보 추론가능.

3. T-근접성

[정의] 동질집합에서 민감정보의 분포와 전체 데이터 집합에서 민감정보의 분포가 유사한 차이를 보이게 하는 프라이버시 보호모델

[내용] L-다양성 뿐만 아니라, 민감한 정보의 분포를 낮추어 추론 가능성을 더욱 낮추는 기법.
(전체 데이터 집합의 정보 분포와 특정 정보의 분포 차이를 t이하로 하여 추론 방지)

[구현방법]
- 전체 데이터 분포와 유사하도록 동질집합 데이터 분포를 구성
- 민감정보가 특정값으로 쏠리거나 뭉치지 않도록 데이터 구성

[사례] 

- "여자는 전립선염에 걸릴수 없다"등의 배경지식을 통해 민감정보를 알아내는 공격
1) 선거인명부에서 이지민의 정보를 얻음 (지역코드 13068, 나이 29세)
2) 지역코드 130..., 연령 30 이하 동질그룹에서 "여자는 전립선염에 걸릴수 없다"는 배경지식을
이용해 이지민의 병명은 고혈압임을 알아냄

[정의] 개인정보를 활용하는 정보시스템의 도입이나 변경 시, 프라이버시에 미치는 영향에 대하여 사전에 조사, 예측, 검토하여 개선 방안을 도출하는 체계적인 절차

[OECD 개인정보보호 8 원칙] 
 - 수집제한의 원칙, 데이터 내용의 원칙, 목적명확화의 원칙, 이용제한의 원칙, 안전보호의 원칙, 공개의 원칙, 개인참가의 원칙, 책임의 원칙

[개인정보 영향평가 대상자] 업무목적으로 개인정보 처리하는 모든자에 대하여 적용

[개인정보 영향평가 시기 및 절차]

- 사전분석 : 신규(시행 또는 변경)사업에 대한 개인정보 영향평가 필요성 여부 결정
- 영향평가 수행주체 선정 : 신규 사업 주관 부서, 개인정보 소유 부서, 시스템 운영 부서, 개인정보
관리책임자, 기업 내 최고 의사결정권자, 외부 전문가 등으로 영향평가팀 구성
- 관련법규 및 사업내용 검토 : 개인정보 관련 내부 정책 및 조직체계 검토, 개인정보보호 관련 법규 및
가이드라인 조사, 신규 사업 내용 검토
- 정보흐름분석 : 신규 사업에서 취급하는 개인정보 및 이를 포함하는 자산 식별, 개인정보 종류 및 처리
단계, 접근 권한 등을 도표, 보안 시스템을 포함한 정보시스템구조도 분석
- 침해요인 분석 및 위험평가 : 주요 개인정보 자산에 대해 영향평가 점검표를 바탕으로 침해요인 분석,
침해요인에 대한 위험평가 실시
- 개선계획 수립 및 위험관리 : 관리되어야 할 위험과 잔여 위험을 분리하고 관리되어야 할 위험에 대한
통제 방안 마련