So, security is two different things: it's a feeling, and it's a reality. And they're different. You could feel secure even if you're not. And you can be secure even if you don't feel it. Really, we have two separate concepts mapped onto the same word. And what I want to do in this talk is to split them apart -- figuring out when they diverge and how they converge. And language is actually a problem here. There aren't a lot of good words for the concepts we're going to talk about. So if you look at security from economic terms, it's a trade-off.
보안에는 두가지가 있습니다: 즉, 느낌과 현실이죠. 이 두가지는 매우 다릅니다. 우리는 사실은 안전하지 않을 때도 안전하다고 느낄 수 있죠. 그 반면, 안전감을 못느끼더라도 실제는 안전할 수 있습니다. 사실 보안이라는 단어에는 두개의 다른 개념이 담겨 있지요. 저는 이 토크에서 이 단어를 둘로 분리해서 그들의 의미가 어떻게 다르며, 어떤때 그들의 의미가 같아 지는지 말씀드리겠습니다. 사실 이건 언어 문제입니다. 우리가 이야기 하려는 개념에 딱 맞는 좋은 단어들은 그리 많지 않습니다. 경제적 용어로 말하자면 보안은 원하는 보안 수준과 그것을 가지는데 필요한 경비를 말합니다.
Every time you get some security, you're always trading off something. Whether this is a personal decision -- whether you're going to install a burglar alarm in your home -- or a national decision, where you're going to invade a foreign country -- you're going to trade off something: money or time, convenience, capabilities, maybe fundamental liberties. And the question to ask when you look at a security anything is not whether this makes us safer, but whether it's worth the trade-off. You've heard in the past several years, the world is safer because Saddam Hussein is not in power. That might be true, but it's not terribly relevant. The question is: Was it worth it? And you can make your own decision, and then you'll decide whether the invasion was worth it. That's how you think about security: in terms of the trade-off.
일정한 수준의 보안을 가지려면 그것에 대한 어떤 대가를 치뤄야 하지요. 도난경보기를 설치하느냐 안하느냐와 같은 개인적인 결정이건, 외국을 쳐들어갈 것인가 같은 국가적 결정이건, 우리는 돈이나 시간, 편리성, 군사력, 그리고 심지어는 근본적인 자유 같은 것을 위해 어떤 대가를 치룹니다. 그렇기 때문에 우리가 어떤 보안책을 원할때는 그것이 우리를 더 안전하게 만드느냐 보다는 그 대가를 지불할 가치가 있는가를 생각해야 합니다. 우리는 사담 후세인이 더 이상 집권하지 않기 때문에 세계가 더 안전해 졌다는 말을 지난 몇해동안 듣고 있지요. 그건 그럴지도 모르지만 사실 그것은 별로 무관한 말입니다. 우리가 물어야할 질문은 우리가 지불한 가치가 있었냐는 것이죠. 그리고 난 후 이락을 침략할 가치가 있었는지를 우리 스스로가 판단을 내려야 합니다. 보안도 그렇게 비용편익 측면에서 생각해야 합니다.
Now, there's often no right or wrong here. Some of us have a burglar alarm system at home and some of us don't. And it'll depend on where we live, whether we live alone or have a family, how much cool stuff we have, how much we're willing to accept the risk of theft. In politics also, there are different opinions. A lot of times, these trade-offs are about more than just security, and I think that's really important. Now, people have a natural intuition about these trade-offs. We make them every day. Last night in my hotel room, when I decided to double-lock the door, or you in your car when you drove here; when we go eat lunch and decide the food's not poison and we'll eat it.
이것은 종종 옳고 그른 문제가 아니죠. 어떤 사람은 집에 도난경보기를 설치하고 어떤사람은 설치하지 않죠. 그것은 우리가 어디에 살고 있는지, 혼자 사는지 또는 가족이 있는지, 좋은 물건을 얼마나 가지고 있는지, 그리고 도둑을 맞을 가능성이 얼마나 된다고 생각하는지에 달려있지요. 정치에도 또한 다양한 의견들이 있습니다. 대부분의 경우, 비용편익 분석을 할 때 보안문제만 고려하지는 않는데 저는 이것이 매우 중요하다고 생각합니다. 우리는 비용편익 분석을 할 때 직관적으로 선호하는 것이 각각 다릅니다. 우리는 직관적인 결정을 매일 내리지요 -- 우리는 호텔방의 문을 이중으로 잠글것인지를 결정하거나, 오늘 여기로 올때 차를 타고 올 것인가를 결정하거나, 또는 점심을 먹을때 독이 아니니까 먹자는 결정 등을 내릴때 비용편익에 의거한 가치판단을 내립니다.
We make these trade-offs again and again, multiple times a day. We often won't even notice them. They're just part of being alive; we all do it. Every species does it. Imagine a rabbit in a field, eating grass. And the rabbit sees a fox. That rabbit will make a security trade-off: "Should I stay, or should I flee?" And if you think about it, the rabbits that are good at making that trade-off will tend to live and reproduce, and the rabbits that are bad at it will get eaten or starve. So you'd think that us, as a successful species on the planet -- you, me, everybody -- would be really good at making these trade-offs. Yet it seems, again and again, that we're hopelessly bad at it.
우리는 이와같은 비용편익 분석을 통한 가치판단을 하루에도 몇번씩 내립니다. 우리는 이런 것을 무의식중에 실행하지요 우리는 살아있는 한 계속 이런 선택을 내리죠. 이건 모든 동물이 다 하는 일입니다. 토끼가 들판에서 풀을 먹고 있다고 상상해 보세요. 토끼가 여우를 봅니다. 토끼는 이제 보안 비용편익 분석에 의거한 결정을 내립니다. "여기 머무를까, 도망갈까?" 이제 생각해보죠, 옳은 결정을 내린 토끼는 살아남아서 자손을 남길 것이고 그렇지 못한 토끼는 잡아먹히거나 굶어 죽어 버리겠죠. 지구상에서 가장 성공적인 동물인 여러분과 저와 우리 모두는, 이런 결정에 아주 능숙하다고 생각할지 모릅니다. 그러나 우리는 그런 결정을 내리는데 아주 서투릅니다.
And I think that's a fundamentally interesting question. I'll give you the short answer. The answer is, we respond to the feeling of security and not the reality. Now, most of the time, that works. Most of the time, feeling and reality are the same. Certainly that's true for most of human prehistory. We've developed this ability because it makes evolutionary sense. One way to think of it is that we're highly optimized for risk decisions that are endemic to living in small family groups in the East African Highlands in 100,000 BC. 2010 New York, not so much. Now, there are several biases in risk perception. A lot of good experiments in this. And you can see certain biases that come up again and again. I'll give you four.
이건 근본적으로 아주 흥미있는 점이지요. 우리가 이런 결정을 내리는데 서투른 이유는 간단하죠. 즉, 우리는 현실 자체에 대응하지 않고 안전하냐 또는 안전하지 않냐는 느낌에 대응하기 때문이죠. 대부분의 경우 이 방식은 별 문제가 되지 않습니다. 왜냐하면, 대부분의 경우 느낌과 실제가 일치하니까요. 선사시대 때 부터 그랬으니까요. 이런 방식은 진화적으로 유리했기 때문에 우리는 이 능력을 발달시켰죠. 어떻게 보면 우리의 위험분석 기능은 10만년 전에 우리가 동아프리카의 고원지대에서 소규모 가족단위로 살던 당시의 상황에 맞게 최적화 됐다고 생각할 수도 있습니다. 2010년의 뉴욕은 완전히 상황이 다르죠. 위험을 인식 할 때는 여러 편견이 작용합니다. 이것에 대한 좋은 실험이 많이 실시됐는데 일부 특정된 편견들이 여러 실험 결과에 계속 나타났습니다. 네 가지 예를 보여드리죠.
We tend to exaggerate spectacular and rare risks and downplay common risks -- so, flying versus driving. The unknown is perceived to be riskier than the familiar. One example would be: people fear kidnapping by strangers, when the data supports that kidnapping by relatives is much more common. This is for children. Third, personified risks are perceived to be greater than anonymous risks. So, Bin Laden is scarier because he has a name. And the fourth is: people underestimate risks in situations they do control and overestimate them in situations they don't control. So once you take up skydiving or smoking, you downplay the risks. If a risk is thrust upon you -- terrorism is a good example -- you'll overplay it, because you don't feel like it's in your control.
우리는 드물고 장대한 위험은 과장하고 흔한 위험은 경시하는 경향이 있습니다. 비행과 운전이 그렇죠. 또한, 우리에게 친숙한것 보다는 우리가 모르는 것을 더 위험하게 인식합니다. 일례로, 사람들은 낯선 사람에 의한 유아납치를 두려워하는데, 통계적으로는, 지인에 의한 납치가 훨씬 더 빈번하죠. 어린이의 경우에 그렇죠. 세번째로, 특정된 사람에 대한 위험은 막연히 누군가에 대한 위험보다 더 크게 인식됩니다. 그래서 빈 라덴 이라는 이름이 우리를 더 무섭게 합니다. 네번째로, 사람들은 그들이 통제하지 못하는 상황에서의 위험은 과대평가하고, 그들이 통제할 수 있는 상황의 위험은 과소평가 합니다. 그래서, 일단 스카이다이빙이나 흡연을 시작한 사람들은 그 위험들을 경시하죠. 예를들어 누가 테러 같은 것의 위험에 대해 묻는다면 여러분은 어쩔 수 없다고 느끼기 때문에 더 위험하게 느낍니다.
There are a bunch of other of these cognitive biases, that affect our risk decisions. There's the availability heuristic, which basically means we estimate the probability of something by how easy it is to bring instances of it to mind. So you can imagine how that works. If you hear a lot about tiger attacks, there must be a lot of tigers around. You don't hear about lion attacks, there aren't a lot of lions around. This works, until you invent newspapers, because what newspapers do is repeat again and again rare risks. I tell people: if it's in the news, don't worry about it, because by definition, news is something that almost never happens.
이 외에도 수많은 인식적 편견들이 여러분의 위험 판단에 영향을 미칩니다. 가용성 추단법이라는 용어가 있는데 간단히 말해 그 의미는 얼마나 쉽게 머리속에 상상할 수 있는가에 따라 그것의 확률을 추정한다는 것이죠. 예를들어 설명을 드리죠. 호랑이 습격 이야기를 많이 들으면, 주변에 호랑이가 많이 있다는 말이겠죠. 사자가 공격하는 얘기를 못들었으면 사자가 많이 없을테고요. 실제로는 어쩌다가 일어날수 있는 위험을 반복해서 들려주는 신문이 발명되기 전까지 이런 생각은 옳았습니다. 저는 사람들에게 뉴스에 어떤 얘기가 나오면 걱정하지 말라고 합니다. 왜냐하면, 그것은 뉴스라는 말의 정의와 같이 거의 생기지 않는다는 말이니까요.
(Laughter)
(웃음)
When something is so common, it's no longer news. Car crashes, domestic violence -- those are the risks you worry about. We're also a species of storytellers. We respond to stories more than data. And there's some basic innumeracy going on. I mean, the joke "One, two, three, many" is kind of right. We're really good at small numbers. One mango, two mangoes, three mangoes, 10,000 mangoes, 100,000 mangoes -- it's still more mangoes you can eat before they rot. So one half, one quarter, one fifth -- we're good at that. One in a million, one in a billion -- they're both almost never.
더 이상 뉴스가 아닐 정도로 흔한 사건들, 즉 차량 충돌, 가정 내 폭력 등이 여러분이 걱정해야 할 위험들입니다. 인간은 또한 이야기를 좋아하는 동물이지요. 우리는 통계수치 보다는 이야기에 더 감동합니다. 우리는 숫자에 관한 한 기본적으로 무능한 면이 있습니다. "하나, 둘, 셋, 많다" 같은 죠크가 대충 맞죠. 우리는 작은 숫자들은 잘 알지요. 망고 하나, 망고 둘, 망고 셋처럼요. 망고 만개나 망고 10만 개 -- 이런건 먹기 전에 다 썩어버리는 숫자죠. 우리는 반 개, 1/4개, 1/5개 등은 잘 인식하지만 100만 분의 일이나 10억분의 일은 둘 다 똑같이 거의 제로로 취급하지요
So we have trouble with the risks that aren't very common. And what these cognitive biases do is they act as filters between us and reality. And the result is that feeling and reality get out of whack, they get different. Now, you either have a feeling -- you feel more secure than you are, there's a false sense of security. Or the other way, and that's a false sense of insecurity.
따라서 우리는 흔하지 않은 위험들을 다룰 때 어려움을 겪습니다. 이러한 인식적 편견들은 우리와 실제 사이에서 필터와 같은 역할을 합니다. 그 결과, 우리의 느낌과 실제간에 괴리가 생기고, 느낌은 실제와 달라집니다. 그러면 실제로 안전한 것 보다 더 안전하게 느끼거나 또는 그 반대로 실제는 안전하지만 안전하지 않게 느끼지요.
I write a lot about "security theater," which are products that make people feel secure, but don't actually do anything. There's no real word for stuff that makes us secure, but doesn't make us feel secure. Maybe it's what the CIA is supposed to do for us. So back to economics. If economics, if the market, drives security, and if people make trade-offs based on the feeling of security, then the smart thing for companies to do for the economic incentives is to make people feel secure. And there are two ways to do this.
저는 소위 말하는 "보안 연극"에 대해 글을 많이 쓰는데 보안연극은 안전하다는 느낌만 줄뿐 실지로는 아무런 역할이 없습니다. 실제로는 안전하게 만들어 주지만 안전하다는 느낌은 주지 못한다는 의미의 단어가 영어에는 없지요. 아마 CIA가 해야하는 일이 이런 것들일지 모르죠. 이제 경제학으로 돌아와서, 만약에 안전하다는 느낌에 의거해서 경제나 시장의 보안이 좌우되고 사람들이 보안에 대한 비용편익 가치판단을 한다면 계산에 빠른 회사들의 입장에서 볼때 사람들이 안전하게 느끼게 하는 것이 유리하겠지요. 그렇게 느끼도록 하는데는 두가지 방법이 있죠.
One, you can make people actually secure and hope they notice. Or two, you can make people just feel secure and hope they don't notice. Right? So what makes people notice? Well, a couple of things: understanding of the security, of the risks, the threats, the countermeasures, how they work. But if you know stuff, you're more likely to have your feelings match reality. Enough real-world examples helps. We all know the crime rate in our neighborhood, because we live there, and we get a feeling about it that basically matches reality. Security theater is exposed when it's obvious that it's not working properly.
첫번째는 실제로 안전하게 만든 후에 사람들이 안전함을 깨닫게 하는 것이고 두번째 방법은 그냥 안전하다는 느낌만 주고 사람들이 눈치채지 못하길 바라는 거죠. 어떻게하면 사람들이 안전하다는 느낌을 가지게 할 수 있을까요? 다음과 같은 몇가지 방법이 있겠지요. 안전, 위험, 위협, 그리고 대응책을 이해하고 그들이 어떻게 작용한다는 것을 이해하는 것이지요. 그러나 사람들이 보안에 대해 잘 알게 되면 . 현실에 일치하는 보안에 대한 느낌을 가지게 됩니다 제 말을 이해하는데 도움이 되도록 몆가지 실례를 말씀드리지요. 우리는 우리 주변의 범죄율을 잘 아는데 그 이유는 우리가 우리 지역에 살면서 가지는 느낌이 실제와 일치하기 때문이지요. 보안연극의 본성은 그것이 비효과적이라는 것이 분명해 질때 노출됩니다.
OK. So what makes people not notice? Well, a poor understanding. If you don't understand the risks, you don't understand the costs, you're likely to get the trade-off wrong, and your feeling doesn't match reality. Not enough examples. There's an inherent problem with low-probability events. If, for example, terrorism almost never happens, it's really hard to judge the efficacy of counter-terrorist measures. This is why you keep sacrificing virgins, and why your unicorn defenses are working just great. There aren't enough examples of failures. Also, feelings that cloud the issues -- the cognitive biases I talked about earlier: fears, folk beliefs -- basically, an inadequate model of reality.
좋아요, 그럼 어떨때 사람들이 눈치를 채지 못할까요? 사람들이 제대로 이해하지 못할 때 그렇지요. 우리가 위험을 이해하지 못하면, 치뤄야 하는 대가도 모르고 보안에 대한 틀린 비용편익 판단을 내리기 쉽고 우리의 느낌과 현실이 일치하지 않지요. 한가지 예를 더 들죠. 자주 발생하지 않는 이벤트에는 본질적인 문제가 있지요. 만약에, 예를 들어, 테러행위가 거의 일어나지 않는다면, 테러 방지 대책의 효능을 판단하기가 정말 어렵습니다. 그래서 우리는 계속 처녀를 제물로 바치고, 유니콘 방어가 여전히 효과가 있다고 믿지요. 실패에 대한 예는 많지 않지요. 또한, 제가 앞서 말씀드린 인지적 편견, 공포감, 전통적인 믿음은 간단하게 말해 현실과는 다른 미흡한 모델이기 때문에 그런 느낌은 실제와 허구를 혼동시킵니다.
So let me complicate things. I have feeling and reality. I want to add a third element. I want to add "model." Feeling and model are in our head, reality is the outside world; it doesn't change, it's real. Feeling is based on our intuition, model is based on reason. That's basically the difference. In a primitive and simple world, there's really no reason for a model, because feeling is close to reality. You don't need a model. But in a modern and complex world, you need models to understand a lot of the risks we face.
이제 제가 머리를 복잡하게 만드는 말씀을 드리죠. 느낌과 현실 이외에 이제 모델이라는 제3의 요소를 더 추가하겠습니다. 느낌과 모델은 우리의 머리속에 존재하는 한편 현실은 외부 세계입니다. 현실은 바뀌지 않고 실제로 존재합니다. 느낌은 우리의 직관에 의거한 것이고 모델은 이성적인 생각에 의거한 것이죠. 그게 기본적인 차이입니다. 원시적이고 단순한 세계에서는 모델이 필요하지 않았습니다. 왜냐면 느낌이 실제에 가까웠으니까요. 그럴 땐 모델이 필요없습니다. 하지만 현대의 복잡한 세상에서는 우리가 당면하는 많은 위험을 이해하기 위해 모델이 필요합니다.
There's no feeling about germs. You need a model to understand them. This model is an intelligent representation of reality. It's, of course, limited by science, by technology. We couldn't have a germ theory of disease before we invented the microscope to see them. It's limited by our cognitive biases. But it has the ability to override our feelings. Where do we get these models? We get them from others. We get them from religion, from culture, teachers, elders.
우리는 세균에 대한 느낌이 없기 때문에 세균을 이해하려면 모델이 필요합니다. 따라서 이 모델은 현실의 지적 표상이죠. 이런 모델은 물론 과학과 기술이 허용하는 한계에서 가능하죠. 현미경을 발명하여 세균을 직접 보기 전까진 미생물 병인론이란 것이 없었지요. 모델은 우리의 인식의 편견으로 만들어 집니다. 그러나 이런 모델은 우리의 느낌을 무력화 시킬 수 있습니다. 우리는 모델을 어디서 얻을까요? 바로 우리의 외부에서 얻습니다. 우리는 종교나, 문화나, 스승이나, 어르신분들로부터 모델을 얻습니다.
A couple years ago, I was in South Africa on safari. The tracker I was with grew up in Kruger National Park. He had some very complex models of how to survive. And it depended on if you were attacked by a lion, leopard, rhino, or elephant -- and when you had to run away, when you couldn't run away, when you had to climb a tree, when you could never climb a tree. I would have died in a day. But he was born there, and he understood how to survive. I was born in New York City. I could have taken him to New York, and he would have died in a day.
이년전에 저는 남아프리카에서 사파리 여행을 했습니다. 제가 고용한 추적가는 크루거 국립공원에서 자란 사람이었지요. 그는 생존법에 대한 여러가지 복잡한 모델을 가지고 있었지요. 그의 생존 모델은 그를 공격하는 맹수가 사자인지, 표범인지, 코뿔소인지 또는 코끼리인지에 따라 다르고 또한, 언제 도망가고, 언제 도망가면 안되고 나무에 올라 갈 수 있는지 또는 없는지에 따라 달랐죠. 제가 혼자있었으면 저는 하루도 못돼서 죽었을 겁니다. 하지만 제 추적가 그곳에서 태어났고, 어떻게 하면 살 수 있는지 알고 있었지요. 저는 뉴욕에서 태어났습니다. 만약에 제가 그 추적가를 뉴욕으로 데리고 오면, 그 사람은 하루안에 죽을거예요.
(Laughter)
(웃음)
Because we had different models based on our different experiences. Models can come from the media, from our elected officials ... Think of models of terrorism, child kidnapping, airline safety, car safety. Models can come from industry. The two I'm following are surveillance cameras, ID cards, quite a lot of our computer security models come from there.
우리는 우리만의 경험을 바탕으로 우리의 고유한 모델을 가지고 있지요. 모델은 대중매체로 부터 나올 수 도 있고, 정부관리가 만들 수도 있습니다. 테러, 어린이 유괴, 항공기 안전, 자동차 안전 등의 모델을 생각해보세요. 모델은 산업계로 부터 나올 수도 있습니다. 저는 지금 감시 카메라와 ID 카드 모델들을 연구하고 있는데 많은 컴퓨터 보안 모델들이 이런 시스템에서 나왔지요.
A lot of models come from science. Health models are a great example. Think of cancer, bird flu, swine flu, SARS. All of our feelings of security about those diseases come from models given to us, really, by science filtered through the media. So models can change. Models are not static. As we become more comfortable in our environments, our model can move closer to our feelings.
많은 모델은 과학에서 나오지요. 건강 모델이 아주 좋은 예입니다. 암, 조류독감, 돼지독감, 사스 같은 병들을 생각해보세요. 이런 병들의 안전에 대한 우리의 모든 느낌은 과학적 모델이 대중매체를 통해 여과된 후에 우리에게 주어진 것입니다. 그래서 모델들은 바뀔 수 있습니다. 모델들은 정적인것이 아닙니다. 우리가 우리의 환경에 더 잘 적응하게 되면 우리의 모델은 우리의 느낌과 비슷하게 됩니다.
So an example might be, if you go back 100 years ago, when electricity was first becoming common, there were a lot of fears about it. There were people who were afraid to push doorbells, because there was electricity in there, and that was dangerous. For us, we're very facile around electricity. We change light bulbs without even thinking about it. Our model of security around electricity is something we were born into. It hasn't changed as we were growing up. And we're good at it. Or think of the risks on the Internet across generations -- how your parents approach Internet security, versus how you do, versus how our kids will.
그 일례로, 전기가 대중화되기 시작했던 100년전으로 돌아가보면, 전기에 대한 공포심이 널리 퍼져있었지요. 어떤 사람들은 전기 초인종에 전기가 있어서 위험하다며 초인종을 누르는 것을 두려워 했지요. 우리는 이제 전기에 아주 익숙해 졌죠. 전구 바꾸는 정도는 아무것도 아니죠 전기에 대한 우리의 모델은 우리가 타고난 것이죠. 그 모델은 우리가 자라면서 변하지 않았습니다. 우리는 전기를 잘 다루죠. 우리의 각 세대가 인터넷의 위험을 어떻게 생각하는지 보죠 -- 여러분의 부모님과 여러분들 자신이 인터넷 보안을 대하는 것이 어떻게 다르고, 여러분의 자녀들은 앞으로 어떻게 생각할 것인가요.
Models eventually fade into the background. "Intuitive" is just another word for familiar. So as your model is close to reality and it converges with feelings, you often don't even know it's there. A nice example of this came from last year and swine flu. When swine flu first appeared, the initial news caused a lot of overreaction. Now, it had a name, which made it scarier than the regular flu, even though it was more deadly. And people thought doctors should be able to deal with it. So there was that feeling of lack of control. And those two things made the risk more than it was.
그러나 모델은 시간이 흐르며 결국에는 서서히 사라집니다. 직관적이라는 말은 즉 친숙하다는 말이지요. 여러분의 모델이 현실에 더 가깝게 되고 그 모델이 여러분의 느낌과 가깝게 되면 모델 자체를 잊어버리게 되죠. 이런 것의 좋은 예로 작년에 있었던 돼지독감을 들 수 있지요. 돼지독감이 처음 나타났던 초기의 뉴스들은 많은 과잉반응을 야기했습니다. 돼지독감이라는 이름 때문에 일반 독감보다 더 무섭게 들렸던 것이죠, 사실은 이름이 없는 일반 독감이 더 위험한데요. 그리고 사람들은 그것은 의사가 해결할 문제라고 생각했죠. 따라서 사람들은 그들 자신이 무력하다고 느꼈지요. 이 두가지 이유로 해서 돼지독감이
As the novelty wore off and the months went by, there was some amount of tolerance; people got used to it. There was no new data, but there was less fear. By autumn, people thought the doctors should have solved this already. And there's kind of a bifurcation: people had to choose between fear and acceptance -- actually, fear and indifference -- and they kind of chose suspicion. And when the vaccine appeared last winter, there were a lot of people -- a surprising number -- who refused to get it. And it's a nice example of how people's feelings of security change, how their model changes, sort of wildly, with no new information, with no new input. This kind of thing happens a lot.
실제보다 더 위험한 것처럼 보였죠. 처음에 있었던 생소함이 없어지고 시간이 지나며 사람들이 어느정도 돼지독감을 포용하게 되고 그 위험에 익숙해 지며 돼지독감에 대한 새 데이터는 안나왔는데 두려움이 많이 없어졌지요. 가을이 오며 사람들은 의사들이 돼지독감 문제를 이미 해결했어야 한다고 생각했죠. 그때 사람들은 일종의 분기점에 도달해서 돼지독감을 계속 두려워하던지 아니면 현실을 받아들이던지 둘 중에 하나를 선택해야 했는데 사람들은 불신하는 쪽으로 기울었지요. 그래서 작년 겨울에 백신이 나왔을때 놀라울 정도로 많은 사람들이 백신주사 맞기를 거부했습니다. 이것은 아무런 새로운 정보가 없이 안전에 대한 우리의 느낌이 크게 바뀌고, 또한 모델도 바뀔 수 있다는 것을 보여주는 좋은 일례입니다. 이런 일은 많이 생기지요.
I'm going to give one more complication. We have feeling, model, reality. I have a very relativistic view of security. I think it depends on the observer. And most security decisions have a variety of people involved. And stakeholders with specific trade-offs will try to influence the decision. And I call that their agenda. And you see agenda -- this is marketing, this is politics -- trying to convince you to have one model versus another, trying to convince you to ignore a model and trust your feelings, marginalizing people with models you don't like. This is not uncommon. An example, a great example, is the risk of smoking. In the history of the past 50 years, the smoking risk shows how a model changes, and it also shows how an industry fights against a model it doesn't like.
조금 더 복잡한 상황을 이야기 해보겠습니다. 느낌, 모델, 현실이 있습니다. 저는 보안에 대해 매우 현실적인 견해를 가지고 있습니다. 저는 보안에 대한 생각은 사람에 따라 다르다고 생각하지요. 대부분의 보안에 대한 결정에는 다양한 사람들이 관계되어 있습니다. 보안에 관련된 결정에 관련된 이해 당사자들은 보안 결정에 영향을 주려고 할 것입니다. 저는 그것을 그들의 '숨은 의도'라고 부르겠습니다. 그들의 숨은 의도에는 마케팅도 있고, 정치도 있지요 --- 그들은 여러분이 어떤 모델 대신에 다른 모델을 가지도록 하거나, 또는 어떤 모델을 무시하고 여러분의 느낌을 믿으라고 설득시켜서 여러분이 좋아하지 않는 사람 이나 모델을 소외시키게 만들지요. 이건 드문일이 아닙니다. 아주 좋은 예의 하나는 흡연의 위험이죠. 흡연의 위험에 대한 지난 50년의 역사는 리스크 모델이 어떻게 바뀌었으며 담배업계가 그들이 좋아하지 않는 모델을 어떻게 싸워 왔는지를 보여줍니다.
Compare that to the secondhand smoke debate -- probably about 20 years behind. Think about seat belts. When I was a kid, no one wore a seat belt. Nowadays, no kid will let you drive if you're not wearing a seat belt. Compare that to the airbag debate, probably about 30 years behind. All examples of models changing. What we learn is that changing models is hard. Models are hard to dislodge. If they equal your feelings, you don't even know you have a model. And there's another cognitive bias I'll call confirmation bias, where we tend to accept data that confirms our beliefs and reject data that contradicts our beliefs. So evidence against our model, we're likely to ignore, even if it's compelling. It has to get very compelling before we'll pay attention.
이것은 간접흡연에 대한 논쟁에 비교해 약 20년 정도는 뒤쳐진 것이죠. 안전벨트의 예도 들어보죠. 제가 어렸을 때는 아무도 안전벨트를 매지 않았습니다. 요즘은 안전벨트를 안채워주면, 아이들이 운전을 못하게 합니다. 에어백 논쟁과 비교해보면, 아마 30년은 뒤쳐졌을겁니다. 이것은 모두 모델이 변하는 것을 보여주지요. 이것은 모델을 바꾸는 것이 어렵다는 것을 보여줍니다. 모델을 걷어내는 것은 힘어려운 일입니다. 모델이 여러분의 느낌과 같으면 여러분은 모델을 가지고 있는지 조차 모르지요 우리는 또한 다른 인지적 편견을 가지고 있는데 저는 그것을 "확인편견"이라고 부르겠습니다 . 그것은 우리는 우리의 믿음과 일치하는 데이터는 받아드리고 우리의 믿음과 상반되는 데이터는 거부하는 것이지요. 우리는 우리의 모델에 일치하지 않는 증거는 아무리 강력한 증거라도 무시할 가능성이 많습니다. 설득력이 아주 강한 증거래야 비로서 관심을 보이지요.
New models that extend long periods of time are hard. Global warming is a great example. We're terrible at models that span 80 years. We can do "to the next harvest." We can often do "until our kids grow up." But "80 years," we're just not good at. So it's a very hard model to accept. We can have both models in our head simultaneously -- that kind of problem where we're holding both beliefs together, the cognitive dissonance. Eventually, the new model will replace the old model.
오랜 시간이 관련되는 새 모델은 받아들이기 힘들지요. 지구 온난화가 대표적인 예입니다. 우리는 80년 정도되는 기간에 걸친 모델은 잘 다루지 못합니다. 다음 추수시절 까지의 기간은 감당할 수 있죠. 자식이 성장할때 까지의 기간도 종종 감당할 수 있죠. 그러나 80년은 감당하지 못합니다. 그래서 온난화 모델은 정말 받아들이기 어렵죠. 우리는 두개의 모델을 동시에 가질 수도 있습니다. 즉, 두개의 다른 믿음을 동시에 가지는 것은 인지부조화라고 말할 수 있죠. 그러나 결국에는
Strong feelings can create a model.
새로운 모델이 이전 모델을 대체하게 됩니다.
September 11 created a security model in a lot of people's heads. Also, personal experiences with crime can do it, personal health scare, a health scare in the news. You'll see these called "flashbulb events" by psychiatrists. They can create a model instantaneously, because they're very emotive. So in the technological world, we don't have experience to judge models. And we rely on others. We rely on proxies. And this works, as long as it's the correct others.
강한 느낌은 모델을 만들 수 있습니다. 911 사태는 많은 사람들의 머리속에 보안에 대한 모델을 만들었습니다. 또한 범죄에 관련된 개인적인 경험도 모델을 만들 수 있고, 건강에 대한 두려움, 건강위기 뉴스도 그럴 수 있죠. 이런것은 정신과 의사들이 말하는 소위 "섬광 이벤트"에서 볼 수 있습니다. 이런 경험은 매우 강력한 감정을 초래하기 떄문에 그 즉시로 모델을 만들 수 있죠. 기술이 발달한 사회에 사는 사람들은 모델들을 판달 할 수 있는 경험을 가지고 있지 않습니다. 그래서 다른 사람의 경험에 대신 의뢰하게 되지요 이런 방법은 다른 사람을 관리하는 목적으로는 좋죠.
We rely on government agencies to tell us what pharmaceuticals are safe. I flew here yesterday. I didn't check the airplane. I relied on some other group to determine whether my plane was safe to fly. We're here, none of us fear the roof is going to collapse on us, not because we checked, but because we're pretty sure the building codes here are good. It's a model we just accept pretty much by faith. And that's OK.
우리는 약의 안전성 시험을 정부기관에 맡깁니다. 저는 어제 비행기를 타고 여기로 왔는데 제가 직접 비행기를 점검하지는 않았지요. 제가 탄 비행기가 안전한지 그렇지 않은지는 다른 사람들에게 맡깁니다. 우리는 이 빌딩을 직접 점검하지 않았지만 지붕이 내려 앉을지 모른다고 걱정하는 사람은 아무도 없죠. 왜냐하면 이 빌딩이 건축규정을 잘 지켰을거라고 믿고 확신하기 때문입니다. 이런것은 믿음을 통해 우리가 그냥 받아들이는 모델입니다. 그런건 좋습니다.
Now, what we want is people to get familiar enough with better models, have it reflected in their feelings, to allow them to make security trade-offs. When these go out of whack, you have two options. One, you can fix people's feelings, directly appeal to feelings. It's manipulation, but it can work. The second, more honest way is to actually fix the model. Change happens slowly. The smoking debate took 40 years -- and that was an easy one. Some of this stuff is hard. Really, though, information seems like our best hope.
자, 우리가 원하는 것은 사람들이 더 좋은 모델에 충분히 친숙해지고 -- 그들의 감정에도 반영이 되어 보안에 관련된 비용편익 결정을 할 수 있는 그런 모델 말이죠. 자, 그런데 이런 모델들이 잘 맞지 않으면, 여러분들에게는 두가지 옵션이 있습니다. 한가지는 다른 사람들의 감정에 직접 호소하여 그들의 모델을 바꾸게 하는 것이죠. 이런 방식은 조작이지만 효과가 있을 수 있습니다. 좀 더 솔직한 두번째 방법은 모델을 수정해 보는것이죠. 변화는 천천히 일어납니다. 흡연에 대한 논쟁은 40년 걸렸습니다. 그러나 그 문제는 쉬운편이었죠. 다른 사람의 모델을 바꾸는 것은 어려운 일입니다. 제말은 아마도 정보를 제공하는것이 제일 희망적일것 같습니다.
And I lied. Remember I said feeling, model, reality; reality doesn't change? It actually does. We live in a technological world; reality changes all the time. So we might have, for the first time in our species: feeling chases model, model chases reality, reality's moving -- they might never catch up. We don't know. But in the long term, both feeling and reality are important.
제가 거짓말을 했어요. 저는 얼마전에 감정, 모델, 현실을 말했지요. 현실은 바뀌지 않는다고 말했죠. 사실 현실은 변합니다. 우리는 기술이 지배하는 세상에 살기 때문에 현실은 항상 변합니다. 그래서 아마 인류역사상 처음으로 느낌이 모델을 따라가고, 모델이 현실을 따라가고, 현실은 움직이고 -- 아마 현실을 따라 잡지 못할 지 모르죠. 아무도 모릅니다. 그러나 오랜 기간을 통해서는 느낌과 현실이 둘다 다 중요합니다.
And I want to close with two quick stories to illustrate this. 1982 -- I don't know if people will remember this -- there was a short epidemic of Tylenol poisonings in the United States. It's a horrific story. Someone took a bottle of Tylenol, put poison in it, closed it up, put it back on the shelf, someone else bought it and died. This terrified people. There were a couple of copycat attacks. There wasn't any real risk, but people were scared. And this is how the tamper-proof drug industry was invented. Those tamper-proof caps? That came from this. It's complete security theater. As a homework assignment, think of 10 ways to get around it. I'll give you one: a syringe. But it made people feel better. It made their feeling of security more match the reality.
이점을 설명하기 위해 마지막으로 짧은 이야기를 두개 말씀드리겠습니다. 여러분들이 기억하시는지 모르겠지만 1982년에 미국에서 타이레놀 독살 사건이 있었습니다. 끔찍한 이야기였죠. 누군가 타에레놀 병에다가 독을 탄후, 병을 다시 닫고 진열대에 다시 올려 놓은 거죠. 어떤 사람이 그약을 사서 먹고 죽었지요. 이 사건으로 사람들은 공포에 휩쓸렸었지요. 모방범죄의 사례도 몇개 있었지요. 실제적인 위험은 없지만 사람들은 무서워했지요. 이 사건 이후 변조방지 제약산업이 태어났지요. 변조방지 뚜껑이 이런 사건 때문에 생긴거죠. 이런건 완전히 보안연극입니다. 이것을 우회하는 방법을 숙제로 10가지 생각해 보세요. 제가 한가지 방법을 알려드리지요. 주사기를 쓰면 됩니다. 하지만 이 뚜껑은 사람들을 안심시켰죠. 이 뚜껑은 사람들이 가진 안전하다는 느낌을 현실에 더 맞추어 줬지요.
Last story: a few years ago, a friend of mine gave birth. I visit her in the hospital. It turns out, when a baby's born now, they put an RFID bracelet on the baby, a corresponding one on the mother, so if anyone other than the mother takes the baby out of the maternity ward, an alarm goes off. I said, "Well, that's kind of neat. I wonder how rampant baby snatching is out of hospitals." I go home, I look it up. It basically never happens.
몇년전에 제 친구가 아이를 낳았습니다. 그래서 제가 병원으로 문병을 갔었지요. 요즘은 아기가 태어나면 병원에서 엄마 팔찌와 똑같은 RFID 팔찌를 아기 손목에 채우더군요. 그래서 엄마가 아닌 다른 사람이 아기를 임산부병실에서 데리고 나가면 경보음이 울리는거죠. 저는 "그게 아주 좋은 방법이네" 라고 말했지요. 저는 병원안에서 유아유괴가 얼마나 만연한지 궁금했습니다. 그래서 집에 돌아와서 찾아 봤더니. 그런 일은 거의 발생하지 않더군요.
(Laughter)
하지만 생각을 해 보면,
But if you think about it, if you are a hospital, and you need to take a baby away from its mother, out of the room to run some tests, you better have some good security theater, or she's going to rip your arm off.
간호사가 아기를 검진하기 위해서 아기 엄마 눈앞에서 아기를 데리고 병실 밖으로 나갈수 있으려면, 아마 좋은 안전연극을 해야 할 것입니다. 아니면 아기 엄마가 간호사의 팔을 잡아 뗄테니까요.
(Laughter)
(웃음)
So it's important for us, those of us who design security, who look at security policy -- or even look at public policy in ways that affect security. It's not just reality; it's feeling and reality. What's important is that they be about the same. It's important that, if our feelings match reality, we make better security trade-offs.
그래서 보안 시스템을 디자인하거나, 보안 정책에 관련된 사람들이나 심지어는 보안에 관계되는 공공정책에 관여된 사람들은 단순히 현실만 생각할 것이 아니라 느낌과 현실을 동시에 고려해야 합니다. 중요한것은 느낌과 현실이 거의 일치해야 한다는 것입니다. 우리의 느낌이 현실과 같으면 우리는 보안에 대한 보다 더 합리적인 판단을 내릴 수 있을 것입니다.
Thank you.
감사합니다.
(Applause)
(박수)