[논문]개인 정보 노출에 대한 정량적 위험도 분석 방안

김평; 이윤호; 티무르 쿠다이베르게노프

doi:10.13089/jkiisc.2015.25.2.395

개인 정보 노출에 대한 정량적 위험도 분석 방안
A method for quantitative measuring the degree of damage by personal information leakage 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.25 no.2, 2015년, pp.395 - 410

초록
AI-Helper

본 연구에서는 개인 정보별 노출시 피해를 정량적으로 산출할 수 있는 위험도를 정의한다. 제안 방법은 개인정보를 세분화 후, 각 개별 위험도를 산정한다. 또한 두 가지 이상의 정보가 복합될 경우의 추가되는 위협도 동시에 고려한다. 또한 개인 정보를 습득하고자 하는 공격자 유형별로 개인 정보의 가치를 구분하여 개인정보 노출시에 어떠한 공격에 취약한지를 알 수 있도록 하였다. 또한 노출 정도를 판별하기 위해 엔트로피 개념을 위험도 산출시 도입한다. 이를 바탕으로 페이스북 사용자들의 공개된 정보에 대한 위험도를 분석한다. 2만여명의 공개 정보를 분석한 결과, 페이스북 사용자는 평균적으로 스토커 공격에 취약한 것으로 보여졌다.

Abstract ▼ AI-Helper

This research defines the degree of the threat caused by the leakage of personal information in a quantitative way. The proposed definition classifies the individual items in a personal data, then assigns a risk value to each item. The proposed method considers the increase of the risk by the composition of the multiple items. We also deals with various attack scenarios, where the attackers seek different types of personal information. The concept of entropy applies to associate the degree of the personal information exposed with the total risk value. In our experiment, we measured the risk value of the Facebook users with their public profiles. The result of the experiment demonstrates that they are most vulnerable against stalker attacks among four possible attacks with the personal information.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 연구에서는 개별적인 개인 정보의 위험도를 분석한다. 우리는 개별 정보가 노출되었을 때, 실질적으로 노출되는 정보량 및 노출 후의 파급효과를 감안하여 정량적인 위험도 측정 지표를 제안한다.
본 절에서는 소셜 네트워크 서비스를 통해 노출되는 개인정보의 위험도를 산출하기 위한 정량적인 기준들과 이를 개인정보를 수집하는 공격자의 목표에 따른 실제 피해를 반영한 위험도 산출을 위한 방법론을 제안한다. 다음의 그림 1은 위험도 산출 과정이다.
또한 이를 바탕으로 전체 인구에서 해당 속성이 드러났을 경우, 단독으로 식별되는 개체가 얼마인지 추정하는 연구가 있어왔다. 이러한 연구에서 각 속성은 노출될 경우 개인이 식별되는 식별성에 영향을 미치며, 이러한 식별성의 정도는 본 연구의 개인 정보 노출 위험도 산정에 참고가 될 수 있는 연구이다. 이러한 추정을 위해 노출된 샘플에서 각 레코드의 동치 클래스(equivalence class)를 정의하고 베이지안 룰(Bayes’rule)을 적용한 [2,3] 연구와 샘플을 추출하는 확률 분포를 가정하고 전체 인구 내의 단독 식별 가능 개체를 추정하는 [4,5] 연구가 있어 왔다.

가설 설정

복합개인정보는 개인정보의 각 항목에 해당하는 속성 사이에 연관성(dependency)이 존재할 경우 이를 확인하여 생성한다. 같은 복합개인정보T로 묶이지 않은 각각의 개인정보 속성들의 분포는 독립적(independent)이라고 가정한다.
금융상품판매목적 정보수집주체의 경우 개인이 어떤 금융상품을 사용하고 있는지에 관련된 정보를 우선적으로 수집의 목표로 개인의 금융정보가 노출될 경우에 해당 피해가 발생한다고 가정한다. 또한 해당 정보수집주체는 특정 금융권에서 수집한 개인정보에 관한 자체 데이터베이스를 가지고 있다고 가정하며 특정 사용자의 신원 확인에 관련된 개인정보를 취득할 경우 추가적인 금융정보를 획득할 수 있다고 볼 수 있다.
이때, 실제 연락처가 아닌 간접적으로 해당 개인에게 전달할 수 있는 경로를 포함한다. 또한 광고하고자 하는 상품 및 서비스에 대한 사용자의 필요 상태를 알 수 있을 경우 그 해당 광고의 효율성이 증가한다고 가정한다. 실제 상대적 위험도 산출에서 스팸의 종류의 목적에 대한 예시로 기호성향정보, 신용정보를 감안하여 가산하였다.
스토킹 목적의 정보수집주체가 특정 개인과 물리적인 접촉이 가능한 정보를 취득하였을 경우 실제적인 피해가 발생한다고 볼 수 있다. 이 정보수집주체는 거주지 및 연락처에 대한 정보와 실제 개인의 생활에서 위치적인 접근이 가능한 정보를 우선 수집한다고 가정한다. 교육정보, 근로정보를 수집하여 생활의 위치적인 범위를 획득할 경우에는 개인적인 활동을 통해 이에 접근이 가능하며 의료정보, 기호성향정보, 신변사항정보의 수집을 통해 간접적인 주변영역에 대한 접근이 가능하다.
종합적인 위험도는 T_i에 해당하는 목적을 가지고 정보를 수집하는 공격자를 가정하고 잠재적인 피해발생내역을 고려하여 위험도를 산출한다.

제안 방법

본 연구에서는 개인 정보 노출의 위험도를 정의하였다. 각 개별 개인정보의 실질적인 위험도를 산정하기 위해 다양한 기존 자료를 참고하였으며, 개인정보가 복합될 경우의 피해를 고려하였다. 이에 부가하여 다양한 민사소송 결과자료를 근거로 하여 각 개별 개인정보 노출시의 피해액을 위험도 산정시 고려하였다.
또한 정의된 개인정보 위험도를 공개된 페이스북 사용자 프로필에 적용을 시도하였다. 시도 결과 사용자들은 Stalking 공격에 가장 취약함을 알 수 있었다.
이에 부가하여 다양한 민사소송 결과자료를 근거로 하여 각 개별 개인정보 노출시의 피해액을 위험도 산정시 고려하였다. 마지막으로 엔트로피 개념을 적용하여 개인정보가 일부 노출되었을 경우도 고려하였다.
본 연구를 통해 제안하는 정보노출량 측정에는 해당 개인정보의 분포(엔트로피), 자체 식별력 및 프라이버시 민감도에 따른 절대적 위험도, 공격유형별 상대적인 위험도를 포함한다. 이를 살펴보기 위해 각각의 개별 관심정보 중에서 위험도가 높은 주소, 휴대폰번호, 이메일, 생년월일과 비교적 중요도가 낮게 여겨지는 국가, 혈액형에 대하여 개별 가중치로 적용되는 위험도와 정보노출량 평균에 대해 비교, 분석한다.
통계학 분야에서는 어떠한 정보가 노출이 되면 개체를 식별할 수 있을까에 대한 문제를 해결하기 위한 연구가 있어왔다. 샘플된 다수개의 속성으로 이루어진 개체들의 데이터 레코드들 중에서 특정 속성만으로 단독으로 식별할 수 있는 개체의 숫자를 분석함으로써, 각 속성의 중요도를 분석하였다. 또한 이를 바탕으로 전체 인구에서 해당 속성이 드러났을 경우, 단독으로 식별되는 개체가 얼마인지 추정하는 연구가 있어왔다.
또한 광고하고자 하는 상품 및 서비스에 대한 사용자의 필요 상태를 알 수 있을 경우 그 해당 광고의 효율성이 증가한다고 가정한다. 실제 상대적 위험도 산출에서 스팸의 종류의 목적에 대한 예시로 기호성향정보, 신용정보를 감안하여 가산하였다.
본 연구에서는 개별적인 개인 정보의 위험도를 분석한다. 우리는 개별 정보가 노출되었을 때, 실질적으로 노출되는 정보량 및 노출 후의 파급효과를 감안하여 정량적인 위험도 측정 지표를 제안한다. 이를 위해 개별적인 개인 정보의 위험도 기준을 제안하고[9] 연구에서 제안하고 있는 정보노출량의 지표인 해상도와 실제 피해 노출 사례와 연관하여 그 위험도를 정량화 한다.
특정 속성의 분포에 해당하는 p(x)가 세분화된다면 이 해당속성의 구분가능성이 증가하게 된다는 것을 알 수 있다. 이것을 [21] 연구에서 제안하고 있는 객관적인 확률(objective probability)과 질적인 가중치가 적용된 엔트로피(qualitative weighted entropy)의 형태로 변환한다. 각각의 속성의 확률 분포는 소셜 네트워크 서비스를 통해 수집되는 개인 데이터 레코드를 통해 객관적인 확률 p로 정의할 수 있다.
본 연구를 통해 제안하는 정보노출량 측정에는 해당 개인정보의 분포(엔트로피), 자체 식별력 및 프라이버시 민감도에 따른 절대적 위험도, 공격유형별 상대적인 위험도를 포함한다. 이를 살펴보기 위해 각각의 개별 관심정보 중에서 위험도가 높은 주소, 휴대폰번호, 이메일, 생년월일과 비교적 중요도가 낮게 여겨지는 국가, 혈액형에 대하여 개별 가중치로 적용되는 위험도와 정보노출량 평균에 대해 비교, 분석한다. 다음의 표는 수집되는 전체 개인정보 X에 대해 정보수집주체의 각 목적(Ti)에 해당하는 관심정보, 즉 상대적 위험도(adversary filter value)가 0보다 큰 속성에 대한 분류이다.
우리는 개별 정보가 노출되었을 때, 실질적으로 노출되는 정보량 및 노출 후의 파급효과를 감안하여 정량적인 위험도 측정 지표를 제안한다. 이를 위해 개별적인 개인 정보의 위험도 기준을 제안하고[9] 연구에서 제안하고 있는 정보노출량의 지표인 해상도와 실제 피해 노출 사례와 연관하여 그 위험도를 정량화 한다. 구체적인 세부 목표는 다음과 같다.
따라서 이러한 가중치가 증가할수록 보다 정확한, 실제 적용된 p보다 식별성이 높게 찾아낼 수 있다. 이를 적용하기 위해 다음과 같이 개인정보 레코드의 속성 X_i의 전체 평균에 해당하는 식별가능성을 정보노출량으로 산출한다.
각 개별 개인정보의 실질적인 위험도를 산정하기 위해 다양한 기존 자료를 참고하였으며, 개인정보가 복합될 경우의 피해를 고려하였다. 이에 부가하여 다양한 민사소송 결과자료를 근거로 하여 각 개별 개인정보 노출시의 피해액을 위험도 산정시 고려하였다. 마지막으로 엔트로피 개념을 적용하여 개인정보가 일부 노출되었을 경우도 고려하였다.

대상 데이터

위험도 노출에 대한 실험은 소셜 네트워크 서비스 페이스북(Facebook)과 트위터(Twitter)를 통해 수집된 개인정보 20,000 건을 사용하여 이루어졌다. 수집된 개인정보의 항목은 다음과 같고 이 정보가 제3 절에서 정의된 전체 개인정보 속성의 표본인 X가 된다

이론/모형

수집된 개인정보를 이용하여 각각의 속성에 대한 평균 정보노출량의 산출은 기본적으로 [9] 연구에서 제안하고 있는 엔트로피(entropy)기반의 해상도(resolution) 기준을 사용한다.

성능/효과

[10]에서는 2005년 SNS상에서 4,000개의 프로필을 분석하여 정보노출을 집계하였다. 89%의 사용자가 이름을, 88%의 사용자가 생일을, 그리고 51%의 사용자가 주소지를 공개하고 있는 것으로 나타났으며 기본 프라이버시 공개 설정에서 이를 변경한 사용자가 거의 없었다. 2008년 [11]의 연구에서는 592,548 개의 계정을 조사하여 80%의 사용자들이 기록물과 교육, 나이에 대한 정보를 친구 관계에서만 노출하도록 설정하였다는 것을 확인하였다.
가중치의 적용으로 인해 본 연구를 통해 제안하고자 하는 정보노출량 평균이 전반적으로 [9]의 연구의 방식으로 산출된 정보량 보다 높은 것을 알 수 있다. 정보노출량 평균을 살펴볼 때, 가족관계(결혼유무), 국가, 성별, 혈액형과 같이 개인 식별성이 낮고 크게 프라이버시 민감도가 떨어지는 정보의 경우 정보노출량 또한 적다는 점을 확인할 수 있다.
또한 정의된 개인정보 위험도를 공개된 페이스북 사용자 프로필에 적용을 시도하였다. 시도 결과 사용자들은 Stalking 공격에 가장 취약함을 알 수 있었다.
가중치의 적용으로 인해 본 연구를 통해 제안하고자 하는 정보노출량 평균이 전반적으로 [9]의 연구의 방식으로 산출된 정보량 보다 높은 것을 알 수 있다. 정보노출량 평균을 살펴볼 때, 가족관계(결혼유무), 국가, 성별, 혈액형과 같이 개인 식별성이 낮고 크게 프라이버시 민감도가 떨어지는 정보의 경우 정보노출량 또한 적다는 점을 확인할 수 있다. 다만, 실제와 다르게 휴대폰번호, 주소와 같은 정보의 경우 노출될 경우 심각한 개인정보침해를 발생시킬 수 있는 정보들에 대하여 정보노출량 평균이 다소 높지 않게 산출된 것은 수집된 개인정보 자체의 양이 적었기 때문이다.
은 본 연구의 노출건수 대비 정보노출량 평균에 대한 그래프이다. 제 3 절에서 프라이버시 민감도 및 식별성 기준으로 높은 위험도가 부여된 주소, 휴대폰, 이메일 등 같은 개별 속성의 위험도가 전체 정보노출량 평균에 잘 반영되고 있음을 확인할 수 있다. 그런데 그림 4.

후속연구

본 연구는 온라인 상에서 개인정보 노출 시의 위험도 산정에 사용될 수 있으며, 사용자들이 자신의 정보를 노출 시킬 경우 정량적으로 그것의 위험성을 알리기 위해 사용될 수 있을 것으로 생각한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	보이스피싱목적 정보수집주체의 정보수집의 목적은 무엇인가?	보이스피싱목적 정보수집주체의 정보수집의 목적은 실제 금융거래가 가능한 정보와 이 정보를 취득하기 위해 직접적인 연락이 가능한 연락처, 사칭을 위한 대인관계에 대한 정보라고 볼 수 있다. 특정 개인의 신용거래가 가능한 개인금융정보, 신용거래에 필요한 일반정보를 수집할 경우 금전적인 피해가 발생하며, 또 직접적인 연락이 가능한 전화번호관련 정보와 위장을 위한 개인 주변 대인관계에 대한 정보를 알았을 경우 개인정보침해가 발생한다.
	개인 정보의 유출은 어떤 피해를 야기시키는가?	개인 정보의 유출은 정보 소유자의 프라이버시 노출로 인한 피해 및 그로 인한 개인 정보 관리 주체의 금전적 피해를 야기시킨다. 미국의 포네몬 연구소의 연간 보고서 [1]에 따르면 기업당 개인 정보 보호 유출로 인한 평균 보상금액은 $5,403,644에 달하며, 이 비용은 해마다 증가하는 추세이다.
	페이스북 사용자들의 공개된 정보에 대한 위험도를 분석한 결과 알 수 있는 것은?	이를 바탕으로 페이스북 사용자들의 공개된 정보에 대한 위험도를 분석한다. 2만여명의 공개 정보를 분석한 결과, 페이스북 사용자는 평균적으로 스토커 공격에 취약한 것으로 보여졌다.

참고문헌 (24)

Ponemon Institute, "2013 Cost of Data Breach Study: Global Analysis," (http://www.ponemon.org/library/2013-cost-of-data-breach-global-analysis), 2013.
L.V. Zayatz, "Estimation of the percent of unique population elements on a microdata file using the sample," Census/SRD/RR-91/08, U.S. Department of Commerce, 1991.
L.V. Zayatz, "Estimation of the number of unique population elements using a sample," Proceedings of the Survey Research Section on American Statistical Association, Methods, pp. 369-373, Nov. 1991.
G. Chen and S. Keller-McNulty, "Estimation of identification disclosure risk in microdata," Journal of Offical Statistics-Stockholm, vol. 14, no. 1, pp. 79-95, Mar. 1998.
C.J. Skinner and M.J. Elliot, "A measure of disclosure risk for microdata," Journal of the Royal Statistical Society: series B (statistical methodology), vol. 64, no. 4, pp. 855-867, Oct. 2002

상세보기
R. Agrawal and R. Srikant, "Privacy-preserving data mining," ACM SIGMOD Record, vol. 29, no 2, pp. 439-450, Jun. 2000.

상세보기
C.E. Shannon, "A mathematical theory of communication," ACM SIGMOBILE Mobile Computing and Communications Review vol. 5, no. 1, pp. 3-55, Jan. 2001.
D. Agrawal, and C.C. Aggarwal, "On the design and quantification of privacy preserving data mining algorithms," Proceedings of the ACM SIGMOD-SIGACT-SIGART Symposium on Principles of Database Systems, pp. 247-255, May. 2001.
R. Yasui, A. Kanai, T. Hatashima, and K. Hirota, "The Metric Model for Personal Information Disclosure," Proceeding of the 2010 IEEE International Conference on Digital Society, pp. 112-117, Feb. 2010.
R. Gross, and A. Alessandro, "Information revelation and privacy in online social networks," Proceedings of the 2005 ACM Workshop on Privacy in the Electronic Society, pp. 71-80, Nov. 2005.
I.F. Lam, K.T. Chen, and L.J. Chen, "Involuntary information leakage in social network services," Advances in Information and Computer Security, IWSEC'08, LNCS 5312, 167-183, 2008.
F.B. Viegas, "Bloggers' expectations of privacy and accountability: An initial survey," Journal of Computer-Mediated Communication vol. 10, no. 3, pp. 00-00, Apr. 2005.

상세보기
L. Sweeney, "Finding lists of people on the web," ACM SIGCAS Computers and Society Vol. 34, no. 1 special issue, Article No. 2, Mar. 2004.
E. Minkov, C. Richard, C. Wang, and W. W. Cohen, "Extracting personal names from email: applying named entity recognition to informal text," Proceedings of the Conference on Human Language Technology and Empirical Methods in Natural Language Processing, Association for Computational Linguistics, pp. 443-450, Oct. 2005.
T.T.T Hien, S.I. Eitoku, T. Tamada, S.Y. Muto, and M. Abe,. "An ontological approach to lifelog representation for disclosure control," Proceedings of the 2009 IEEE International Symposium on Consumer Electronics, pp. 932-936, May. 2009.
M. Iwaihara, K. Murakami, G.J. Ahn, and M. Yoshikawa, "Risk evaluation for personal identity management based on privacy attribute ontology," Conceptual Modeling-ER 2008, ICCM'08, LNCS 5231, pp. 183-198, 2008
G.J. Ahn and P. Sekar. "Ontology-Based Risk Evaluation in User-Centric Identity Management," Proceeding of the 2011 IEEE International Conference on Communications, pp. 1-5, Jun. 2011.
KISA, "Privacy security index research report", 2008.
KISA, "Privacy white papaer", (http://isis.kisa.or.kr/ebook/ebook2.html), 2003.
KISA, "Implementation cases of privacy management and security protection", (http://www.kisa.or.kr/uploadfile/201110/201110171033288390.pdf), 2011.
S. Guiasu, "Weighted entropy," Reports on Mathematical Physics, Vol. 2, no. 3, pp. 165-179. Sep. 1971

상세보기
Jong-In Lim and Sook-Yoon Lee, "Case study regarding personal information and serach for solution to that problem," Jounal of Korea Association for Informedia Law, 12(2), 2009
KISA, "A casebook of dispute conciliation of privacy", (http://www.kopico.or.kr/data/after), 2011.
General law site of Korea court, (http://glaw.scourt.go.kr/wsjo/panre/sjo100.do?contId1982468&q2006%EA%B0%80%ED%95%A987762,%2095947,%20106212&nq&wtotal§ion&subw&subsection&subId2&csq&groups&category&outmax1&msort&onlycount&sp&d1&d2&d3&d4&d5&pg0&p1&p2&p3&p4&p50&p6&p7&p80&p9&p10&p11&p12&sysCd&tabGbnCd&saNo&joNo&lawNm&hanjaYnN&userSrchHistNo&poption&srch&range&daewbynN&smprynN&tabId), 2008.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증