3억 달러의 기업가치를 인정받은 YC 출신 컴플라이언스 스타트업 델브(Delve)가 수백 명의 고객에게 조작된 인증 증거를 제공했다는 의혹에 휩싸였습니다. 3,200만 달러의 시리즈 A 투자를 유치한 이 회사는 구현과 감사를 동시에 수행하는 ‘구조적 사기’를 통해 SOC 2 인증 기간을 단축한 것으로 알려졌습니다. 창업자들은 속도에 매몰된 자동화가 가져올 치명적인 규제 리스크를 경계하고, 투명성 기반의 보안 전략을 재구축해야 합니다.
3억 달러 규모의 컴플라이언스 신기루
최근 Y Combinator 출신의 컴플라이언스 자동화 스타트업 델브(Delve)를 둘러싼 의혹은 B2B SaaS 생태계에 큰 충격을 주고 있습니다. Insight Partners가 주도한 3,200만 달러 규모의 시리즈 A 투자로 3억 달러의 기업가치를 인정받은 델브는, 통상 2–3개월이 소요되는 SOC 2 인증을 단 며칠 만에 해결해 주겠다며 시장을 공략했습니다. 하지만 익명의 내부 고발자에 따르면, 이들은 가짜 이사회 회의록과 테스트 결과를 생성하여 수백 명의 고객에게 제공한 혐의를 받고 있습니다.
자동화의 함정과 ‘구조적 사기’
이번 사태의 핵심은 컴플라이언스 플랫폼이 구현자(Implementer)와 감사자(Examiner)의 역할을 동시에 수행했다는 데 있습니다. 델브는 Accorp, Gradient 등 인도 기반의 감사 기관과 결탁하여 독립적인 검토 없이 결론을 도출하는 일명 ‘고무도장(Rubber-stamp)’ 감사를 진행했다는 의혹을 받습니다. 이는 AI와 템플릿 기반의 자동화가 ‘실제 보안’이 아닌 ‘보안의 외관’만을 만들어내는 데 악용될 수 있음을 보여주는 극단적인 사례입니다.
연쇄적인 규제 리스크와 시장의 변화
이 스캔들은 델브의 고객사들에게 치명적인 연쇄 리스크를 안겨줍니다. 만약 고객사가 가짜 인증 증거를 기반으로 비즈니스를 운영하다 적발될 경우, HIPAA 위반으로 인한 형사 처벌이나 글로벌 매출의 4%(최대 2,000만 유로)에 달하는 GDPR 과징금을 부과받을 수 있습니다. 결과적으로 시장은 컴플라이언스 자동화 솔루션에 대해 극도의 회의감을 갖게 될 것이며, B2B 엔터프라이즈 고객들은 스타트업의 보안 인증을 더욱 깐깐하게 검증할 것입니다.
창업자를 위한 전략적 시사점과 액션 아이템
컴플라이언스는 단순한 체크리스트가 아니라 기업의 생존 기반입니다. 창업자들은 다음의 조치를 즉각 실행해야 합니다.
- 감사 기관의 독립성 검증: 사용 중인 컴플라이언스 플랫폼이 추천하는 감사 기관이 플랫폼과 재무적, 구조적으로 완전히 독립되어 있는지 확인하십시오.
- 자동화와 인적 검토의 분리: 템플릿으로 자동 생성된 문서에 의존하지 말고, 실제 시스템 로그와 접근 제어 기록을 기반으로 한 증거 수집 체계를 구축하십시오.
- 책임의 내재화: ‘수일 내 인증 완료’를 약속하는 솔루션을 경계하십시오. 규제 당국은 최종적인 보안 책임이 플랫폼이 아닌 귀하의 회사와 경영진에게 있다고 판단합니다.