YC W24 출신 Delve, 가짜 컴플라이언스를 서비스로 팔다 — 대규모 사기 폭로

YC W24 출신 Delve, "가짜 컴플라이언스 서비스"로 고발당하다

• YC W24 출신 컴플라이언스 자동화 스타트업 Delve가 대규모 사기 의혹에 휩싸임. Delve의 전·현직 고객들이 공동으로 조사한 결과를 담은 폭탄급 고발 기사가 나왔음
• Delve는 "AI 네이티브" 플랫폼으로 SOC 2, ISO 27001, HIPAA, GDPR 컴플라이언스를 며칠 만에 완료해준다고 마케팅했는데, 실체는 달랐음
• 2023년 설립, Forbes 30 Under 30 + MIT 중퇴 창업자 2명(Karun Kaushik, Selin Kocalar), 2025년 Insight Partners 리드로 시리즈 A $32M 조달. 화려한 이력임

"AI 드리븐"의 실체

• 실제 프로덕트는 AI가 거의 없는 SOC 2 템플릿 팩에 얇은 SaaS 래퍼를 씌운 수준이라는 거임. 미리 채워진 폼에서 "저장"만 누르면 되는 구조
• 이사회 회의록, 테스트 결과, 프로세스 문서 등 실제로 일어나지 않은 일의 증거를 플랫폼이 자동 생성함. 고객은 가짜 증거를 수용하든지 아니면 대부분의 작업을 수동으로 하든지 선택해야 했음
• Trust 페이지에는 실제로 구현하지 않은 보안 조치들이 나열되어 있었음

감사(Audit)의 실체

• "미국 기반 CPA 펌"이라고 했지만, 실제로는 인도의 인증 공장(certification mill)이 미국 내 페이퍼 컴퍼니와 사서함 에이전트를 통해 운영하는 구조였음. 주로 Accorp, Gradient이라는 감사법인을 사용
• Delve가 사실상 감사자 역할까지 겸함. 사전 작성된 평가, 테스트, 결론을 생성하고 감사법인은 도장만 찍는 구조. AICPA 독립성 규정 위반임
• 모든 고객에게 동일한 보고서를 찍어내고 있었음 — Lovable, Bland, Cluely, NASDAQ 상장사 Duos Edge까지 전부 동일 패턴

유출 사건

• 수백 명의 고객 감사 보고서와 기밀 정보가 포함된 Google 스프레드시트가 공개 접근 가능 상태로 유출됨. 이메일로 해당 사실을 통보받은 고객들이 조사를 시작한 게 이 기사의 발단
• Delve 경영진은 부인과 회피 모드로 대응. 서면 질문을 피하고 통화로 유도해서 매력 공세 + 네임드롭(Lovable, Bland, "모든 Fortune 500")을 시도했고, 그래도 안 되면 도넛을 보냈다는 게 웃긴 포인트

고객이 떠안는 리스크

• SOC 2 Type II는 지속적 보안을 증명해야 하는데, Delve는 스크린샷 한 번으로 끝냄. MDM 설정 스크린샷도 어떤 사용자/디바이스인지 특정 불가능하고, 스크린샷 찍은 직후 보안 설정을 끌 수도 있어서 감사자가 연속성을 검증할 방법이 없음
• HIPAA 위반 시 형사 책임, GDPR 위반 시 전 세계 매출의 4% 또는 2천만 유로 벌금. Delve를 통해 "컴플라이언트"가 됐다고 믿은 고객들이 실제로는 이 리스크에 노출되어 있었음