--- title: "YC W24 출신 Delve, 가짜 컴플라이언스를 서비스로 팔다 — 대규모 사기 폭로" published: 2026-03-19T22:29:57.000Z canonical: https://jeff.news/article/755 --- # YC W24 출신 Delve, 가짜 컴플라이언스를 서비스로 팔다 — 대규모 사기 폭로 YC W24 출신 컴플라이언스 스타트업 Delve가 가짜 증거 생성, 인도 인증공장을 통한 도장찍기 감사, AI 없는 AI 플랫폼으로 수백 개 기업의 SOC 2/HIPAA/GDPR 컴플라이언스를 위조했다는 폭로 기사. ## YC W24 출신 Delve, "가짜 컴플라이언스 서비스"로 고발당하다 - YC W24 출신 컴플라이언스 자동화 스타트업 Delve가 대규모 사기 의혹에 휩싸임. Delve의 전·현직 고객들이 공동으로 조사한 결과를 담은 폭탄급 고발 기사가 나왔음 - Delve는 "AI 네이티브" 플랫폼으로 SOC 2, ISO 27001, HIPAA, GDPR 컴플라이언스를 며칠 만에 완료해준다고 마케팅했는데, 실체는 달랐음 - 2023년 설립, Forbes 30 Under 30 + MIT 중퇴 창업자 2명(Karun Kaushik, Selin Kocalar), 2025년 Insight Partners 리드로 시리즈 A $32M 조달. 화려한 이력임 ## "AI 드리븐"의 실체 - 실제 프로덕트는 AI가 거의 없는 SOC 2 템플릿 팩에 얇은 SaaS 래퍼를 씌운 수준이라는 거임. 미리 채워진 폼에서 "저장"만 누르면 되는 구조 - 이사회 회의록, 테스트 결과, 프로세스 문서 등 **실제로 일어나지 않은 일의 증거를 플랫폼이 자동 생성**함. 고객은 가짜 증거를 수용하든지 아니면 대부분의 작업을 수동으로 하든지 선택해야 했음 - Trust 페이지에는 실제로 구현하지 않은 보안 조치들이 나열되어 있었음 ## 감사(Audit)의 실체 - "미국 기반 CPA 펌"이라고 했지만, 실제로는 인도의 인증 공장(certification mill)이 미국 내 페이퍼 컴퍼니와 사서함 에이전트를 통해 운영하는 구조였음. 주로 Accorp, Gradient이라는 감사법인을 사용 - Delve가 사실상 감사자 역할까지 겸함. 사전 작성된 평가, 테스트, 결론을 생성하고 감사법인은 도장만 찍는 구조. AICPA 독립성 규정 위반임 - 모든 고객에게 동일한 보고서를 찍어내고 있었음 — Lovable, Bland, Cluely, NASDAQ 상장사 Duos Edge까지 전부 동일 패턴 ## 유출 사건 - 수백 명의 고객 감사 보고서와 기밀 정보가 포함된 Google 스프레드시트가 공개 접근 가능 상태로 유출됨. 이메일로 해당 사실을 통보받은 고객들이 조사를 시작한 게 이 기사의 발단 - Delve 경영진은 부인과 회피 모드로 대응. 서면 질문을 피하고 통화로 유도해서 매력 공세 + 네임드롭(Lovable, Bland, "모든 Fortune 500")을 시도했고, 그래도 안 되면 도넛을 보냈다는 게 웃긴 포인트 ## 고객이 떠안는 리스크 - SOC 2 Type II는 지속적 보안을 증명해야 하는데, Delve는 스크린샷 한 번으로 끝냄. MDM 설정 스크린샷도 어떤 사용자/디바이스인지 특정 불가능하고, 스크린샷 찍은 직후 보안 설정을 끌 수도 있어서 감사자가 연속성을 검증할 방법이 없음 - HIPAA 위반 시 형사 책임, GDPR 위반 시 전 세계 매출의 4% 또는 2천만 유로 벌금. Delve를 통해 "컴플라이언트"가 됐다고 믿은 고객들이 실제로는 이 리스크에 노출되어 있었음 > [!WARNING] > Delve 고객이라면 즉시 자사 감사 보고서의 유효성을 확인해야 함. 특히 HIPAA 대상 기업의 경우 형사 책임까지 갈 수 있는 사안임. > [!TIP] > 컴플라이언스 플랫폼 선택 시 감사법인의 독립성 검증이 핵심. 감사법인이 플랫폼과 독립적으로 증거를 수집하고 평가하는지, AICPA 기준을 충족하는 미국 CPA 펌인지 확인할 것. ## 핵심 포인트 - 가짜 증거(이사회 회의록, 테스트 등) 자동 생성 - 인도 인증공장이 미국 CPA 펌으로 위장하여 감사 도장찍기 - HIPAA 형사책임 및 GDPR 매출 4% 벌금 리스크에 고객 노출 ## 인사이트 컴플라이언스 자동화의 어두운 면. 속도를 강조하는 스타트업이 실질적 보안 없이 인증서만 찍어내면, 그 리스크는 고스란히 고객에게 전가됨.