SoK: 합성 정형 데이터에 대한 재구성 공격 (NIST CRC 우승 사례를 통한 통찰)

합성 데이터 (Synthetic data)는 민감한 정형 레코드 (tabular records)를 공개하는 대신 개인정보를 보호하는 대체 수단으로 점점 더 많이 권장되고 있습니다. 하지만 이에 대한 핵심적인 적대적 위협인 "재구성 (reconstruction)" (합성 데이터 공개본과 소수의 알려진 준식별자 (quasi-identifiers)를 통해 개인의 숨겨진 속성 값을 복구하는 것)은 그동안 파편화되어 있고 비교하기 어려운 환경에서만 연구되어 왔습니다. 본 논문에서는 비식별화 (de-identified) 및 합성 정형 데이터에 대한 재구성 (또는 속성 추론 (attribute inference)) 공격에 대한 최초의 체계화 (systematization)를 제시합니다. 우리는 공격이 악용하는 구조에 따라 공격을 분류하는 분류 체계 (taxonomy)를 기여하며, 5개의 벤치마크 데이터셋에 대해 14개의 공격을 9개의 합성 데이터 생성 (SDG) 방법과 대조하는 현재까지 가장 체계적인 실증적 평가를 수행합니다. 또한 분류 체계의 공백을 메우는 일련의 새로운 공격들을 제시하며, 그중 하나인 CoBP-RA는 우리가 측정한 가장 강력한 공격입니다. 결정적으로, 우리는 공격의 성공이 무엇을 의미하는지 해석하기 위한 방법론을 도입합니다. 즉, 모집단 분포 (population distribution)의 재구성과 훈련 레코드 (training records)의 암기 (memorization)를 구분하는 암기 테스트 (memorization test), 그리고 재구성 (reconstruction)과 멤버십 추론 (membership inference)을 단일한 비교 가능한 척도에 놓는 축약 (reduction)을 제안합니다. 우리의 연구 결과는 다음과 같습니다: SDG 방법의 선택이 공격 방법의 선택보다 위험을 훨씬 더 크게 좌우합니다; 차분 프라이버시 (differential privacy)는 주로 작은 예산 ($\varepsilon\lesssim1$)에서 보호 효과를 보이며, 그 이상의 수준에서는 보호 효과가 정체되는데, 이는 노이즈 (noise)보다는 합성기 (synthesizer)의 용량 (capacity)에 의해 제한됩니다; 비식별화 (de-identification) 방법이 가장 취약합니다; 그리고 대부분의 재구성은 암기보다는 분포 구조 (distributional structure)를 반영하며, 개인의 위험은 이례적인 레코드 (atypical records)에 집중됩니다. 이러한 공격과 인프라는 2025년 extit{National Institute of Standards and Technology} (NIST) 협력 연구 사이클 (Collaborative Research Cycle)의 모든 레드 팀 (red teams) 중 1위를 차지함으로써 외부적으로 검증되었습니다.