연합학습(FL, Federated Learning) 환경에서 클라이언트별로 서로 다른 개인정보 보호 수준을 허용하는 이질적 차분 프라이버시(HDP) 시스템을 표적으로 삼는 추론 공격을 방어하는 새로운 프레임워크 IntraShuffler가 arXiv를 통해 공개됐다. 연구팀은 서버가 그래디언트 잡음 제거와 대리 모델링 기법을 동원할 경우 클라이언트의 데이터 분포 속성을 추론하고 훈련 라운드에 걸쳐 동일 클라이언트의 업데이트를 연결하는 이른바 프라이버시 추론 공격이 현실적으로 가능하다는 사실을 먼저 입증했다.
기존에 이 같은 추론 위험을 막기 위한 방어 수단으로 업데이트 발신자를 익명화하는 셔플 모델(Shuffle Model)이 널리 연구돼 왔다. 그러나 셔플 모델은 HDP-FL 시스템에서 개인정보 예산(ε) 값에 따라 가중치를 다르게 적용하는 ε 인식 서버 집계 방식과 근본적으로 호환되지 않는다는 한계가 있었다. 연구팀이 제안한 IntraShuffler는 이 두 가지 요건을 동시에 충족하도록 설계된 미들웨어 방어 프레임워크다. 핵심 아이디어는 클라이언트들을 개인정보 예산에 따라 호환 가능한 버킷으로 묶고, 버킷 내부에서 파라미터 수준의 셔플링을 수행해 그래디언트의 지속적 구조를 교란하면서도 ε 인식 집계를 유지하는 것이다.
네 가지 서로 다른 데이터셋을 대상으로 한 실험에서 IntraShuffler는 그래디언트 복원 가능성을 60% 이상 낮추고, 대리 추론 정확도를 0.78에서 0.33으로 떨어뜨리는 성능을 기록했다. 동시에 여러 연합학습 집계 규칙에서 모델 유용성은 비교 가능한 수준으로 유지됐다. 연합학습은 의료·금융 등 민감 데이터를 다루는 산업에서 중앙 집중식 데이터 수집 없이 공동 모델을 훈련하는 방식으로 주목받고 있으나, 서버 신뢰성과 프라이버시 이질성이라는 현실적 제약이 보안 연구의 주요 과제로 남아 있다.
이번 연구는 ‘정직하지만 호기심 많은(honest-but-curious)’ 서버를 가정한 위협 모델 하에서 HDP-FL의 실질적 취약점을 체계적으로 규명하고 구체적인 방어 수단을 제시했다는 점에서 의미가 있다. IntraShuffler는 기존 HDP-FL 시스템에 미들웨어 형태로 탑재될 수 있어 배포 유연성이 높다는 점도 특징으로 꼽힌다.
