3억 달러 기업가치를 인정받은 YC 출신 컴플라이언스 자동화 스타트업 델브(Delve)가 심각한 감사 위조 의혹에 휩싸였습니다. 이에 따라 3,200만 달러 규모의 시리즈 A 투자를 리드했던 인사이트 파트너스(Insight Partners)는 관련 홍보물을 전면 삭제했습니다. 이 사태는 규제 준수 속도만을 좇는 스타트업 창업자들에게 컴플라이언스 외주화가 초래할 수 있는 치명적인 법적 리스크를 경고합니다.
3억 달러 가치의 이면: 자동화인가, 구조적 사기인가
최근 3억 달러의 기업가치를 인정받으며 3,200만 달러 규모의 시리즈 A 투자를 유치한 규제 기술(RegTech) 스타트업 델브(Delve)가 창사 이래 최대 위기를 맞이했습니다. ‘딥델버(DeepDelver)‘라는 익명의 내부 고발자는 델브가 고객사의 HIPAA, GDPR, SOC 2 등 핵심 규제 인증을 돕는 과정에서 이른바 ‘구조적 사기(Structural Fraud)‘를 저질렀다고 폭로했습니다.
폭로에 따르면, 델브는 실제로 열리지 않은 이사회 회의록과 테스트 결과를 위조하고, 인도에 위치한 특정 감사 법인(Accorp, Gradient)들과 결탁하여 플랫폼이 자동 생성한 보고서에 기계적으로 승인 도장을 찍어내는 방식을 취했습니다. 델브 측은 자신들이 ‘단순 템플릿과 자동화 워크플로우를 제공할 뿐’이라며 혐의를 전면 부인하고 있으나, 시장의 파장은 이미 걷잡을 수 없이 커지고 있습니다.
창업자가 짊어질 치명적인 연대 책임
이 스캔들이 스타트업 창업자들에게 주는 가장 뼈아픈 교훈은 ‘책임의 외주화는 불가능하다’는 점입니다. 만약 델브를 통해 인증을 받은 수백 개의 고객사들이 실제로 허위 증거를 기반으로 컴플라이언스를 통과했다면, 그 법적 책임은 델브가 아닌 해당 고객사(스타트업)가 고스란히 짊어지게 됩니다.
의료 데이터보안 규정인 HIPAA 위반은 경영진에 대한 형사 처벌로 이어질 수 있으며, 유럽의 GDPR 위반은 전 세계 연간 매출의 최대 4%에 달하는 천문학적인 벌금을 부과받을 수 있습니다. B2B SaaS나 핀테크, 헬스케어 스타트업 창업자들은 제품 출시와 영업 속도를 높이기 위해 컴플라이언스 자동화 툴을 맹신하는 경향이 있습니다. 하지만 독립적인 외부 감사가 결여된 ‘초고속 인증’은 결국 회사의 존폐를 위협하는 시한폭탄이 될 수 있습니다.
투자자 신뢰 하락과 벤처캐피탈의 시그널
이번 사태에서 가장 주목할 만한 점은 리드 투자사인 인사이트 파트너스(Insight Partners)의 발 빠른 손절입니다. 의혹이 제기되자마자 인사이트 파트너스는 자사 플랫폼에서 델브 투자와 관련된 모든 홍보 게시물을 삭제했습니다. 이는 벤처캐피탈(VC)들이 포트폴리오사의 컴플라이언스 무결성을 얼마나 중요하게 생각하는지 보여주는 결정적 시그널입니다.
앞으로 투자자들은 스타트업의 기술 실사(Tech Due Diligence) 과정에서 규제 인증을 어떻게 획득했는지 훨씬 더 까다롭게 검증할 것입니다. 특정 자동화 플랫폼에만 의존하여 획득한 SOC 2나 ISO 27001 인증은 더 이상 투자자들에게 신뢰를 주지 못할 가능성이 높습니다.
창업자를 위한 컴플라이언스 리스크 방어 전략
스타트업 창업자와 경영진은 이번 사태를 반면교사 삼아 자사의 규제 준수 프로세스를 전면 재검토해야 합니다.
첫째, 벤더 실사(Vendor Due Diligence)를 강화해야 합니다. 컴플라이언스 플랫폼을 도입할 때는 플랫폼과 감사 법인 간의 독립성이 철저히 보장되는지 확인하십시오. 둘째, 하이브리드 접근법을 채택하십시오. 문서화와 워크플로우 관리는 자동화 플랫폼을 활용하되, 최종 감사와 검증은 반드시 플랫폼과 이해관계가 없는 제3의 공신력 있는 감사 법인과 직접 계약하여 진행해야 합니다. 셋째, 속도보다 무결성을 마케팅 포인트로 삼으십시오. B2B 고객들에게 우리 회사는 ‘편법 없이 철저하게 검증된 보안 환경’을 제공한다는 점을 어필하는 것이 장기적인 신뢰 구축에 훨씬 유리합니다.