IntraShuffler: 이질적 차분 프라이버시 연합 학습을 위한 프라이버시 보존 프레임워크

연합 학습 (Federated Learning, FL)에서의 이질적 차분 프라이버시 (Heterogeneous Differential Privacy, HDP)는 클라이언트가 기관 정책 및 데이터 민감도에 따라 개별적인 프라이버시 예산 ($\varepsilon_i$)을 선택할 수 있도록 합니다. 실제로 많은 HDP-FL 시스템은 클라이언트가 선언한 프라이버시 예산에 따라 클라이언트 업데이트의 가중치를 재조정함으로써 모델 효용성을 높이는 $\varepsilon$-aware 서버 집계 ($\varepsilon$-aware server aggregation) 방식을 채택합니다. 그러나 FL에서의 그래디언트 업데이트 (gradient updates)는 비독립 동일 분포 (non-independent and identically-distributed, non-IID) 데이터에 의해 유도된 구조적 패턴을 유지하며, $\varepsilon$-aware 집계에 의해 노출되는 이러한 추가적인 신호들은 정직하지만 호기심 많은 (honest-but-curious) 서버에 의한 추론의 새로운 기회를 제공합니다. 본 연구에서 우리는 먼저, 그래디언트 노이즈 제거 (gradient denoising) 및 대리 모델링 (surrogate modeling) 기능을 갖춘 서버가 현실적인 지식 제약 조건 하에서 대리 추론 정확도 (surrogate inference accuracy)와 연결 성공률 (linkage success)을 통해 측정했을 때, 클라이언트의 분포 속성을 추론하고 훈련 라운드 전반에 걸쳐 동일한 클라이언트의 업데이트를 연결하는 프라이버시 추론 공격 (Privacy Inference Attack)을 수행할 수 있음을 보여줍니다. 셔플 모델 (Shuffle-Model)은 업데이트 소스를 익명화함으로써 이러한 추론 위험에 대한 방어책으로 널리 연구되어 왔으나, HDP-FL의 $\varepsilon$-aware 집계와는 근본적으로 호환되지 않습니다. 이 과제를 해결하기 위해, 우리는 HDP-FL 시스템을 위해 설계된 미들웨어 방어 프레임워크인 \textbf{IntraShuffler}를 제안합니다. IntraShuffler는 클라이언트를 프라이버시 호환 가능한 버킷 (buckets)으로 그룹화하고, 각 버킷 내에서 파라미터 수준의 셔플링 (parameter-level shuffling)을 수행하여 $\varepsilon$-aware 집계를 유지하면서도 지속적인 그래디언트 구조를 교란하는 프라이버시 인식 셔플링 메커니즘을 도입합니다. 네 가지 서로 다른 데이터셋에 대한 실험 결과, IntraShuffler는 여러 FL 집계 규칙 전반에서 유사한 모델 효용성을 유지하면서도 그래디언트 복구 가능성 (gradient recoverability)을 60% 이상 감소시키고 대리 추론 정확도를 0.78에서 0.33으로 낮추는 것을 보여주었습니다.