본문으로 건너뛰기
J
피드

YC W24 출신 Delve, 가짜 컴플라이언스를 서비스로 팔다 — 대규모 사기 폭로

security 약 4분
tags
#compliance#soc2#hipaa#gdpr#startup-fraud
vote
0
댓글
북마크

YC W24 출신 컴플라이언스 스타트업 Delve가 가짜 증거 생성, 인도 인증공장을 통한 도장찍기 감사, AI 없는 AI 플랫폼으로 수백 개 기업의 SOC 2/HIPAA/GDPR 컴플라이언스를 위조했다는 폭로 기사.

  • 1

    가짜 증거(이사회 회의록, 테스트 등) 자동 생성

  • 2

    인도 인증공장이 미국 CPA 펌으로 위장하여 감사 도장찍기

  • 3

    HIPAA 형사책임 및 GDPR 매출 4% 벌금 리스크에 고객 노출

YC W24 출신 Delve, "가짜 컴플라이언스 서비스"로 고발당하다

  • YC W24 출신 컴플라이언스 자동화 스타트업 Delve가 대규모 사기 의혹에 휩싸임. Delve의 전·현직 고객들이 공동으로 조사한 결과를 담은 폭탄급 고발 기사가 나왔음
  • Delve는 "AI 네이티브" 플랫폼으로 SOC 2, ISO 27001, HIPAA, GDPR 컴플라이언스를 며칠 만에 완료해준다고 마케팅했는데, 실체는 달랐음
  • 2023년 설립, Forbes 30 Under 30 + MIT 중퇴 창업자 2명(Karun Kaushik, Selin Kocalar), 2025년 Insight Partners 리드로 시리즈 A $32M 조달. 화려한 이력임

"AI 드리븐"의 실체

  • 실제 프로덕트는 AI가 거의 없는 SOC 2 템플릿 팩에 얇은 SaaS 래퍼를 씌운 수준이라는 거임. 미리 채워진 폼에서 "저장"만 누르면 되는 구조
  • 이사회 회의록, 테스트 결과, 프로세스 문서 등 실제로 일어나지 않은 일의 증거를 플랫폼이 자동 생성함. 고객은 가짜 증거를 수용하든지 아니면 대부분의 작업을 수동으로 하든지 선택해야 했음
  • Trust 페이지에는 실제로 구현하지 않은 보안 조치들이 나열되어 있었음

감사(Audit)의 실체

  • "미국 기반 CPA 펌"이라고 했지만, 실제로는 인도의 인증 공장(certification mill)이 미국 내 페이퍼 컴퍼니와 사서함 에이전트를 통해 운영하는 구조였음. 주로 Accorp, Gradient이라는 감사법인을 사용
  • Delve가 사실상 감사자 역할까지 겸함. 사전 작성된 평가, 테스트, 결론을 생성하고 감사법인은 도장만 찍는 구조. AICPA 독립성 규정 위반임
  • 모든 고객에게 동일한 보고서를 찍어내고 있었음 — Lovable, Bland, Cluely, NASDAQ 상장사 Duos Edge까지 전부 동일 패턴

유출 사건

  • 수백 명의 고객 감사 보고서와 기밀 정보가 포함된 Google 스프레드시트가 공개 접근 가능 상태로 유출됨. 이메일로 해당 사실을 통보받은 고객들이 조사를 시작한 게 이 기사의 발단
  • Delve 경영진은 부인과 회피 모드로 대응. 서면 질문을 피하고 통화로 유도해서 매력 공세 + 네임드롭(Lovable, Bland, "모든 Fortune 500")을 시도했고, 그래도 안 되면 도넛을 보냈다는 게 웃긴 포인트

고객이 떠안는 리스크

  • SOC 2 Type II는 지속적 보안을 증명해야 하는데, Delve는 스크린샷 한 번으로 끝냄. MDM 설정 스크린샷도 어떤 사용자/디바이스인지 특정 불가능하고, 스크린샷 찍은 직후 보안 설정을 끌 수도 있어서 감사자가 연속성을 검증할 방법이 없음
  • HIPAA 위반 시 형사 책임, GDPR 위반 시 전 세계 매출의 4% 또는 2천만 유로 벌금. Delve를 통해 "컴플라이언트"가 됐다고 믿은 고객들이 실제로는 이 리스크에 노출되어 있었음

⚠️주의

> Delve 고객이라면 즉시 자사 감사 보고서의 유효성을 확인해야 함. 특히 HIPAA 대상 기업의 경우 형사 책임까지 갈 수 있는 사안임.

💡

> 컴플라이언스 플랫폼 선택 시 감사법인의 독립성 검증이 핵심. 감사법인이 플랫폼과 독립적으로 증거를 수집하고 평가하는지, AICPA 기준을 충족하는 미국 CPA 펌인지 확인할 것.

컴플라이언스 자동화의 어두운 면. 속도를 강조하는 스타트업이 실질적 보안 없이 인증서만 찍어내면, 그 리스크는 고스란히 고객에게 전가됨.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

AI 에이전트 보안, 이제 권한이 아니라 ‘실행 증거’ 싸움으로 간다

오페이크가 AI 에이전트의 ID, 실행 환경, 도구 호출, 정책 적용 여부를 암호학적으로 검증하는 오페이크 3.0을 공개했다. 핵심은 에이전트 매니페스트와 컨피덴셜 MCP라는 두 오픈소스 기술이며, 기밀 컴퓨팅과 서명된 실행 증거를 결합해 감사자나 규제기관도 독립적으로 확인할 수 있게 하는 방향이다. AI 에이전트가 업무 시스템과 데이터를 직접 만지는 시대에는 접근 권한보다 ‘무슨 일을 했는지 증명할 수 있느냐’가 더 중요해지고 있다.

security

취약점 제보가 더 이상 특별하지 않은 시대가 왔다

전 Go 보안팀 리드였던 필리포 발소르다가 LLM 이후 취약점 제보의 의미가 바뀌었다고 주장한다. 예전에는 희소한 통찰과 비공개 제보가 귀했지만, 이제는 잠재 취약점을 찾는 것보다 실제 영향도를 빠르게 가려내는 triage가 병목이라는 얘기다.

security

스패로우, AI가 만든 코드 취약점 잡는 ‘Sparrow MCP’ 출시

스패로우가 AI 코딩 에이전트가 생성한 코드의 보안 취약점과 사용된 오픈소스를 실시간으로 검사하는 보안 어시스턴트 ‘Sparrow MCP’를 출시했다. 핵심 기능은 취약점 분석과 소프트웨어 자재명세서(SBOM) 생성이며, 앤트로픽의 모델 컨텍스트 프로토콜(MCP)을 지원하는 AI와 연결할 수 있다는 점이다. AI 코딩이 빨라질수록 보안 검증과 오픈소스 추적이 개발 파이프라인 안으로 더 깊게 들어오는 흐름이다.

security

오픈AI, 오픈소스 취약점 고치는 ‘패치 더 플래닛’ 시작

오픈AI가 트레일 오브 비츠와 함께 주요 오픈소스 프로젝트의 취약점을 AI로 찾고, 사람 검토를 거쳐 실제 패치까지 연결하는 프로그램을 시작했다. 파이썬, 고, cURL, 시그스토어, NATS 서버 같은 핵심 프로젝트가 초기 대상이고, 지금까지 수백 건의 보안 이슈와 수십 건의 병합된 패치가 나왔다. 핵심은 AI가 보안팀을 대체하는 게 아니라, 탐지·검증·패치·공개 조율을 빠르게 만드는 보조 엔진이라는 점이다.

security

오픈AI, 취약점 찾기부터 패치까지 돕는 ‘코덱스 시큐리티’ 공개

오픈AI가 사이버보안 이니셔티브 데이브레이크를 확대하면서 보안 전용 도구 코덱스 시큐리티와 GPT-5.5-사이버를 공개했다. 목표는 취약점 탐지에서 끝나는 게 아니라 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 AI로 지원하는 것이다. cURL, Go, Python, Sigstore 등 30개 이상 오픈소스 프로젝트도 패치 지원 프로그램에 참여한다.