미국의 개인정보 비상사태
16 hours ago
4
- 2026년 6월 4일 미국 상무부의 DAO 216-26 지시는 BEA와 U.S. Census Bureau의 공개 통계 보호 방식을 1970년대식 기법으로 되돌려, 세분화된 공공 데이터의 유용성과 응답자 보호를 동시에 흔들 수 있음
- 지시는 차등 개인정보보호(differential privacy) 와 노이즈 주입 같은 현대적 공개 제한 기법을 금지하고, 반올림·집계·범위화 같은 coarsening과 최후 수단인 suppression만 허용함
- County Business Patterns의 양조장 예시는 단순한 coarsening이 산업·지역 통계를 쓸모없게 만들거나, 여러 집계값이 결합될 때 고등학교 수준의 대수로 개별 사업체 값을 재구성할 수 있음을 보여줌
- Census Act는 특정 개인이나 사업체가 제공한 데이터가 식별되는 공개를 범죄로 규정하며, 인구조사 응답률과 연방 통계 신뢰는 기밀성 보장에 크게 의존함
- 개인정보 보호 기법을 둘러싼 과학 커뮤니티 내부의 이견과 별개로, 연방 통계기관의 전문가가 아니라 정치 행위자가 방법 선택을 일방적으로 금지하는 접근은 거부돼야 함
DAO 216-26이 바꾼 공개 통계 기밀 보호
- 2026년 6월 4일 미국 상무부 장관은 DAO 216-26을 발령해 BEA와 U.S. Census Bureau의 모든 공개물에서 사용할 수 있는 기밀 보호 기법을 제한함
- 이 지시는 공개 통계 보호 수단을 1970년대 초반 기법으로 되돌리며, 반세기 넘게 이어진 데이터 주체 보호와 방법론 발전을 후퇴시킴
- 기밀성 보호 기술의 발전 덕분에 Census Bureau는 더 많은 데이터를 더 세밀한 수준에서 공유할 수 있었음
- 결과적으로 통계의 유용성이 낮아지거나, 공개 가능한 통계 수가 줄거나, 보호 수준이 약해질 수 있음
정치적 배경과 법적 충돌
- DAO 216-26의 배경에는 과학적 타당성보다 정치적 이해관계가 강하게 작용함
- 이 지시는 법적으로 필요한 행정 절차를 우회했다는 비판을 받음
- Heritage Foundation의 Project 2025 설계자들이 한 약속을 이행하고, OMB Director Russell Vought가 설립한 Center for Renewing America(CRA)의 수사와 오해를 반영함
- CRA의 2020 Census 차등 개인정보보호 설명문은 “citizenship question이 Census에 추가되더라도 differential privacy가 사용되는 한 개인의 상태를 확인하는 것은 불가능하다”고 밝힘
- 그러나 이런 개인 특성 데이터의 마스킹은 Census Act, 즉 13 U.S. Code Section 9가 요구하는 사항임
- 이 조항은 특정 개인이 제공한 데이터를 식별할 수 있는 공개를 범죄로 규정함
- 기밀성은 사람들이 인구조사에 응답하도록 만드는 데도 중요함
금지된 기법과 허용된 기법
- DAO 216-26은 차등 개인정보보호뿐 아니라 현대적 공개 회피 기법과 일부 오래된 기법까지 금지함
- 허용되는 핵심 기법은 “coarsening”으로 제한됨
- 공개 통계의 세부 수준이나 구체성을 낮추는 방식임
- 반올림, 집계, 그룹화, 범위 사용 등이 여기에 해당함
- “suppression”은 특정 값을 명시적으로 삭제하는 방식이지만, 최후 수단으로만 허용됨
- “noise infusion”은 데이터셋에 임의 값이나 노이즈를 추가해 수정하는 방법이며 금지 대상임
- 노이즈 주입은 재식별 가능한 데이터 공개를 금지하는 기밀성 법제 속에서, 세분화된 데이터 수요 증가에 대응하기 위해 만들어진 기법임
기존 데이터 제품에 미치는 범위
- coarsening과 suppression은 Principal Federal Economic Indicators 같은 전국 단위 집계 통계에는 대체로 충분했음
- 하지만 세밀한 지리·산업 단위의 사업체와 인구통계 데이터에는 이 기법들이 잘 맞지 않음
- 노이즈 주입 금지는 지난 30년간 수십 개 데이터 공개의 핵심 공개 회피 기법을 금지하는 효과를 냄
- input noise infusion은 2002년부터 Quarterly Workforce Indicators에 사용됐고, BEA 통계에도 계획돼 있었음
- swapping은 1990년 이후 decennial census 공개물에 사용됐음
- differential privacy는 2008년부터 통근 패턴 데이터 OnTheMap 공유와 2020 Census 기반 공개물에 사용됐음
- 최근 지시 전까지 differential privacy는 2030 Census에도 계획돼 있었음
- BEA Working Paper WP2026-9는 상무부에 의해 삭제됐다고 적시됨
County Business Patterns 예시가 보여주는 문제
- DAO 216-26은 Census Bureau가 기밀성과 사용 적합성을 동시에 제공해야 하는 이중 의무와 양립하기 어려움
- Nathan Goldschlag의 County Business Patterns 예시는 사업 활동 통계를 산업과 지리로 나눌 때 생기는 긴장을 보여줌
- 작은 카운티에 양조장이 하나뿐인데 정확한 직원 수를 공개하면 한 사업체의 정보가 그대로 드러남
- 양조장이 두 곳이면 한 소유자가 전체 직원 수에서 자기 사업체 직원을 빼 경쟁사의 직원 수를 알 수 있음
- 세 곳 이상이어도 직원 수 합계를 공개하지 않으면, 시장 진입을 검토하는 예비 사업자가 필요한 정보를 얻기 어려움
- 이 예시에서 coarsening은 공개 통계를 쓸모없게 만듦
coarsening만으로도 재구성이 가능한 시나리오
- 추가 예시는 coarsening이 기밀성 유지에도 실패할 수 있음을 보여줌
- 가상의 카운티에는 North Bend와 South Bend라는 두 마을이 있고, 각각 양조장 하나가 있음
- North Bend에는 이동식 병입 회사가 있음
- South Bend에는 고정식 병입 회사가 있음
- 총 4개의 맥주 관련 사업체가 있음
- North Bend 양조장과 South Bend 병입 회사는 공개 소유 회사임
- CBP가 다섯 통계를 공개함
- North Bend의 맥주 관련 사업체 전체 직원 수
- South Bend의 맥주 관련 사업체 전체 직원 수
- 카운티 전체 양조업 직원 수
- 카운티 전체 병입업 직원 수
- 카운티 전체 공개 소유 회사 직원 수
- 이 경우 미지수 4개에 방정식 5개가 생기며, A·B·C·E 네 개만으로도 각 회사의 정확한 직원 수를 고등학교 대수로 풀 수 있음
- 지리, 업종, 소유 형태별 coarsening이 선의로 적용돼도 서로 나쁘게 상호작용하면 모든 값을 완전히 재구성할 수 있음
- noise infusion은 이 방정식 집합을 교란해 정확한 재구성을 막음
“tradstat” 복귀의 실행상 한계
- 상무부는 이 지시가 1970년대의 전통적 통계 기법, 즉 “tradstat”로 돌아가는 것이며 데이터 소비자에게 좋다고 주장함
- BEA FAQ는 이 공개 제한 방법 업데이트가 응답자를 보호하고 “대중에게 더 필수적인 경제 정보를 제공한다”고 밝힘
- 그러나 Goldschlag의 예시는 coarsening이 반대로 작동할 수 있음을 보여줌
- coarsening은 정의상 세밀한 정보 접근을 줄임
- 세 가지 coarsening이 나쁘게 상호작용하는 예시에서는 노이즈 주입 없이는 기본 계산만으로 기밀성이 깨질 수 있음
- 인구조사에서는 differential privacy 같은 형식적 노이즈 주입 방법이 시민권 상태 같은 개인 특성을 기밀로 유지하는 역할을 함
연방 통계에서 기밀성이 중요한 이유
- 응답자 데이터 기밀성을 보호하는 최선의 방법을 두고 과학 커뮤니티 내부에서도 논쟁이 계속됨
- 그러나 DAO 216-26은 과학보다 정치적 이해관계에 의해 추진된 조치로 규정됨
- 이 지시는 인구조사 과정에 대한 대중 신뢰를 위험에 빠뜨릴 수 있음
- 공무원들은 응답자 기밀성을 보호해야 하는 법을 지키면서 지시에 따르려 할 것임
- 더 적은 데이터를 생산할 수 있음
- 데이터를 너무 거칠게 만들어 사용할 수 없게 만들 수 있음
- 정치적 압력으로 양조장 예시처럼 쉽게 마스킹이 벗겨지는 데이터를 공개하게 될 수 있음
- 어떤 선택을 해도 응답자 기밀성 보장이 어려워지고, 많은 사업체와 개인이 응답하지 않을 수 있음
- 이는 “민주주의의 데이터”를 제공하는 기관에 파괴적 결과를 낳을 수 있음
필요한 대응
- 정부의 통계 전문가를 정치 행위자가 덮어누르는 대신, 미국 통계기관에 대한 깊은 투자가 필요함
- 기관이 최선의 도구로 방법을 개선할 수 있도록 인력과 지원이 보장돼야 함
- 특정 개인정보 보호 강화 기법에 대한 견해와 관계없이, 연방 통계 운영에서 반과학적 접근은 공동으로 거부돼야 함
- 제안된 행동은 다음과 같음
- noise infusion과 differential privacy를 설명하는 페이지들이 이미 오프라인으로 내려가고 있어, 관련 방법론 페이지와 기술 문서 아카이브가 필요함
-
Homepage
-
Tech blog
- 미국의 개인정보 비상사태