---
title: "미국 상무부 지침, 차등 개인정보보호와 현대 통계 프라이버시 기법을 사실상 금지"
published: 2026-07-03T00:01:06.000Z
canonical: https://jeff.news/article/4581
---
# 미국 상무부 지침, 차등 개인정보보호와 현대 통계 프라이버시 기법을 사실상 금지

미국 상무부가 2026년 6월 4일 발표한 지침이 인구조사국과 경제분석국의 데이터 공개 방식을 1970년대식 기법으로 되돌리려 한다는 비판이 나왔어. 글은 차등 개인정보보호를 포함한 노이즈 주입 기법을 금지하면 데이터가 덜 유용해지거나, 오히려 재식별 위험이 커질 수 있다고 강하게 경고해.

## 미국 통계 프라이버시가 1970년대로 되돌아갈 위기

- 2026년 6월 4일, 미국 상무부 장관이 DAO 216-26이라는 지침을 냈고, 이게 컴퓨터과학 이론·프라이버시 연구자들 사이에서 큰 논란이 됨
  - 대상은 미국 경제분석국과 인구조사국이 내는 모든 공개 통계의 기밀성 보호 방식
  - 글을 쓴 쪽은 차등 개인정보보호의 선구자인 신시아 드워크를 포함한 연구자들임
  - 주장 핵심은 간단함. 이 지침이 반세기 넘게 쌓인 통계 프라이버시 기술을 버리고, 1970년대식 방식으로 되돌린다는 것

- 지침은 차등 개인정보보호뿐 아니라 현대적인 프라이버시 보존 기법 대부분을 막는 구조임
  - 허용되는 방식은 주로 조대화, 즉 반올림, 그룹화, 범위화처럼 데이터를 덜 자세하게 공개하는 기법
  - 값 자체를 지우는 억제는 ‘최후의 수단’으로만 허용
  - 반대로 무작위 값을 섞는 노이즈 주입은 금지됨
  - 문제는 차등 개인정보보호, 스와핑, 입력 노이즈 주입 같은 핵심 기법이 모두 이 금지 범위에 걸린다는 점

> [!IMPORTANT]
> 글의 핵심은 “프라이버시를 강화하려고 단순화하는 게 아니라, 단순화만으로는 프라이버시도 데이터 품질도 같이 망가질 수 있다”는 거임.

## 왜 단순 집계만으로는 안 되나

- 글은 작은 카운티의 양조장 예시로 문제를 설명함
  - 카운티에 양조장이 1개뿐인데 직원 수를 그대로 공개하면, 그 회사의 직원 수가 그대로 노출됨
  - 양조장이 2개여도 한 업체 주인이 자기 직원 수를 알면 경쟁사의 직원 수를 역산할 수 있음
  - 반대로 너무 많이 숨기면, 새로 양조장을 열려는 사람은 시장 규모를 알 수 없어서 통계가 쓸모없어짐

- 더 무서운 건 ‘좋은 의도로 뭉갠 통계’도 서로 조합되면 원래 값이 복원될 수 있다는 점임
  - 예시에서는 노스벤드와 사우스벤드에 각각 양조장과 병입 회사가 하나씩 있음
  - 공개 통계는 지역별 맥주 관련 업체 직원 수, 양조업 전체 직원 수, 병입업 전체 직원 수, 공개기업 직원 수처럼 5개로 나뉨
  - 그런데 미지수는 4개 회사의 직원 수 4개뿐이라, 공개된 5개 통계 중 4개만 써도 고등학교 대수로 각 회사 직원 수를 풀어낼 수 있음

- 이게 바로 노이즈 주입이 필요한 이유임
  - 단순 집계와 범주 합치기는 여러 축에서 동시에 공개될 때 방정식처럼 맞물릴 수 있음
  - 노이즈를 넣으면 그 방정식이 정확히 맞아떨어지지 않아서, 개별 값을 복원하기 어려워짐
  - 즉 ‘정확도를 조금 희생해서 전체 공개 가능성과 기밀성을 같이 지키는’ 쪽에 가까움

## 정치가 기술 결정을 덮어버릴 때 생기는 일

- 저자들은 이번 지침이 과학적 판단이 아니라 정치적 이해관계에서 나왔다고 봄
  - 글은 헤리티지 재단의 프로젝트 2025, 그리고 시민권 질문과 인구조사 데이터를 둘러싼 정치적 맥락을 직접 언급함
  - 핵심 쟁점 중 하나는 차등 개인정보보호가 있으면 개인의 시민권 상태 같은 민감 정보를 알아내기 어렵다는 점
  - 하지만 미국 인구조사법은 특정 개인이 제공한 데이터를 식별 가능하게 공개하는 것을 범죄로 규정함

- 차등 개인정보보호는 실험실 아이디어가 아니라 이미 정부 통계에 쓰였던 기술임
  - 2008년부터 통근 패턴 데이터 공유 서비스인 온더맵에 사용됨
  - 2020년 인구조사 기반 공개 데이터에도 사용됨
  - 2030년 인구조사에도 계획돼 있었지만, 이번 지침으로 그 경로가 막힐 수 있음

> [!WARNING]
> 지침이 그대로 적용되면 공무원들은 데이터를 덜 공개하거나, 너무 거칠게 뭉개거나, 재식별 위험이 큰 데이터를 내놓는 선택지 사이에 끼게 됨.

- 장기적으로는 응답률과 공공 데이터 신뢰까지 흔들릴 수 있음
  - 기업과 개인이 “내 정보가 다시 식별될 수 있다”고 느끼면 조사에 답하지 않을 가능성이 커짐
  - 그러면 통계 품질이 떨어지고, 정책·인프라·복지·경제 의사결정의 기반도 약해짐
  - 저자들이 이걸 ‘민주주의의 데이터’를 위협하는 일로 보는 이유가 여기 있음

---

## 기술 맥락

- 여기서 선택의 핵심은 “데이터를 얼마나 뭉갤 것인가”가 아니라 “세밀한 통계를 공개하면서도 재식별을 어떻게 막을 것인가”예요. 단순 조대화는 이해하기 쉽지만, 여러 통계표가 동시에 공개되면 서로 맞물려서 원래 값을 되살릴 수 있거든요.

- 차등 개인정보보호와 노이즈 주입은 일부러 통계에 통제된 흔들림을 넣는 방식이에요. 정확한 숫자 하나하나는 조금 덜 선명해지지만, 전체 패턴은 쓸 수 있게 남기고 개별 사람이나 기업을 찍어내는 공격은 어렵게 만들려는 선택이에요.

- 글의 양조장 예시는 이 문제가 보안 제품 홍보 문구가 아니라는 걸 보여줘요. 지역, 업종, 소유 형태 같은 축으로 각각 안전해 보이게 집계해도, 그 결과가 방정식처럼 결합되면 네 회사의 직원 수가 그대로 풀릴 수 있어요.

- 그래서 이 논쟁은 미국 인구조사만의 일이 아니에요. 로그 분석, 사용자 행동 데이터, 사내 데이터 마트처럼 한국 개발자들이 다루는 데이터에서도 “익명화했으니 괜찮다”는 판단이 실제로는 꽤 취약할 수 있어요.

## 핵심 포인트

- 상무부 지침 DAO 216-26은 노이즈 주입과 차등 개인정보보호 사용을 금지하고, 반올림·집계·범위화 같은 조잡한 방식만 허용
- 저자들은 이 결정이 과학적 판단이 아니라 정치적 목적에서 나왔다고 비판
- 양조장 예시를 통해 단순 집계와 범주 합치기만으로도 개별 사업체 직원 수가 고등학교 대수 수준으로 복원될 수 있음을 설명
- 차등 개인정보보호는 2020년 미국 인구조사와 2008년 이후 통근 패턴 데이터 공유 등에 이미 사용됐고, 2030년 인구조사에도 계획돼 있었음

## 인사이트

이건 미국 정치 뉴스처럼 보여도 데이터 엔지니어와 보안 쪽 사람들한테 꽤 큰 신호야. ‘익명화는 대충 뭉개면 된다’는 식의 정책 판단이 실제로는 데이터 품질과 프라이버시를 동시에 망칠 수 있다는 사례라서.
