많은 스타트업이 소규모 팀으로 빠르게 움직이는 특성이 있음
좋은 제품을 만들면 대기업이 구독을 원하지만, 인증 절차가 필요해짐
체크리스트는 유용하지만 지나치게 유럽식 관료주의에 맞춰져 있음
“7명짜리 회사의 리스크 레지스터는 어디 있나요?” 같은 질문을 받으며, 본업 대신 서류 작업에 매달리게 됨
실제로 아무도 읽지 않을 문서를 만들고, 존재하지 않는 프로세스를 꾸며내며, 민첩한 회사를 거대한 기업의 언어로 번역하는 상황이 됨
소규모 팀에 맞는 실용적이고 비례적인 표준이 필요함
완전히 공감함. 하지만 대기업이 이런 표준을 더 지능적으로 적용하면 오히려 경쟁 우위를 가지지 않을까 생각함
내 회사는 Fortune 500인데, 조달 프로세스가 너무 복잡해서 SaaS를 도입하기 어려움
반면 경쟁사는 더 유연한 프로세스로 좋은 벤더를 빠르게 확보함. 이런 차이가 결국 경쟁력으로 이어짐
나는 CIS Controls v8.1이 현실적이고 보안에 실제 도움이 된다고 느낌
Level 1은 기본으로 좋고, Level 2는 비즈니스 리스크에 따라 선택적으로 적용 가능함 CIS Benchmarks도 살펴볼 가치가 있음. 클라우드, SaaS, OS 보안을 위한 모범 사례 모음임
팀이 준비되지 않았다면 실사(due diligence) 를 억지로 통과하려 하지 말아야 함
비즈니스의 목적은 결국 이익 창출임
만약 이 ‘기업 연극(corporate theater)’이 수익으로 이어진다면 그것도 비즈니스의 일부임
고객이 요구하는 방식으로 제품을 제공하지 않으면 결국 시장에서 도태됨
이런 복잡한 인증 절차는 일부 세력이 고객 접근을 통제하기 위해 설계된 장치라고 생각함
체크리스트를 통제하는 사람들이 이익을 얻는 구조임
컴플라이언스는 지름길을 찾지 않고 제대로 시간을 들이면 그렇게 어렵지 않음
AWS는 진짜 의미의 CaaS(Compliance as a Service) 제공자라고 생각함 AWS Artifact를 통해 고객이 복잡한 인증 과정을 쉽게 통과하도록 지원함
물론 소프트웨어나 정책은 여전히 사용자의 책임이지만, 물리 보안·하드웨어 관리·재해 복구 등은 사실상 “무료로” 제공됨
이런 혜택은 AWS뿐 아니라 주요 클라우드 제공자 모두에게 해당됨
다만 Hetzner 같은 단순 인프라 제공자와 비교하면 비용 프리미엄이 꽤 큼
20대 초반 창업가들이 컴플라이언스 감사 문제를 열정적으로 해결하려 할 가능성이 얼마나 될까 궁금함
너무 지루한 분야라 흥미를 느끼기 어렵다고 생각함. 아니면 단순히 기회 때문에 뛰어드는 걸까?
나는 규제 산업용 맞춤 소프트웨어를 만드는 회사에서 일함
20대의 뛰어난 엔지니어들이 Compliance Management System 모니터링을 개발 중임
AI를 활용해 오랜 비즈니스 문제를 해결하고 있음. 미국 동부에서는 은행·전력·헬스케어 등에서 큰 시장임
열정이라기보다 돈을 벌고 싶은 욕구가 강한 20대가 많다고 생각함
나도 이 업계에 있지만, 도메인은 정말 건조하고 재미없음
다행히 기술적인 부분은 흥미로움
고객 입장에서는 컴플라이언스가 너무 고통스러워서, 조금만 자동화돼도 큰 가치가 있음
이건 일종의 새로운 컨설팅 모델 같음
똑똑한 20대들을 모아 “산업을 혁신하겠다”는 명목으로 투자받는 구조임
McKinsey 컨설턴트들이 일 자체보다 브랜드 네임으로 영향력을 얻는 것과 비슷함
YC도 그런 역할을 하는 듯함
설령 이 글이 경쟁사의 공격이라 해도, 제시된 증거가 매우 강력함
만약 허위라면 명예훼손 손해액이 수천만 달러에 이를 것임
이런 폭로를 감수한 용기에 존경을 표함
글쓴이와 그 네트워크가 자신들의 인증이 무효로 드러난 후에야 문제를 제기하는 게 흥미로움
이제 와서 자신들이 ‘Delve를 폭로한 정의로운 사람들’인 척하는 모습임
나는 이 과정을 직접 겪었음
인증 기관이 검증 없이 돈만 받고 인증서를 발급한 게 근본적 실패라고 생각함
Delve 같은 중개업체는 그 실패를 증폭시킨 존재임
업계 사람이라면 이게 단순한 보안 연극(security theater) 임을 다 알고 있었음
글의 깊이가 인상적이었음
우리도 최근 Drata를 검토 중이었는데, 처음엔 꽤 괜찮아 보였음
하지만 이런 사건이 터질 때마다 아직 밝혀지지 않은 사기가 얼마나 많을지 궁금해짐
테스트의 유일한 목적은 실패를 발견하는 것임
모두가 그냥 따라가는 분위기 속에서 이런 문제를 공개적으로 지적하는 게 신선함
이 글을 LinkedIn에서 봤는데, 정말 흥미로웠음
이렇게 깊이 파고든 글이라면 지금쯤 HN 상단에 있어야 한다고 생각함
아마도 의도적으로 노출이 억제된 것 같음
여기가 Y Combinator 사이트라는 점을 생각하면 가능성 있음
내가 아는 몇몇 회사는 Delve를 통해 5일 만에 SOC 2 Type 2 리포트를 받았다고 함
“SOC 2 in days”라는 마케팅 문구도 그대로 사용함. 믿기 어려움
컴플라이언스는 누구도 원하지 않지만 모두가 필요로 하는 것임
결국 책임 전가를 위한 서비스로 여겨짐
규제 기관이 물으면 Delve 같은 곳의 인증서를 보여주고 끝내는 구조임
나는 그런 곳에서 일하고 싶지 않음
SaaS 제공자는 고객 데이터를 보호할 책임감을 가져야 함
컴플라이언스 프레임워크는 그 노력을 돕는 도구임
갭을 찾고, 리스크를 파악하고, 개선을 추진하며, 파트너에게 우리의 수준을 설명하는 수단임
Medium 글에서 묘사된 행위는 단순한 사기임
나는 창업자로서 고객에게 최고 수준의 신뢰를 제공하고 싶음
아무도 세금 내거나 빨래하고 싶어하지 않지만, 해야 하는 일임
컴플라이언스도 마찬가지임
내가 사이버보안 업계에 있을 때도 비슷했음
대부분은 보안 향상보다 보험 요건 충족을 위해 우리를 고용했음
결국 책임을 전가하려는 구조였음
B2B 업계를 모르는 말 같음
실제로 많은 창업자가 “우리 제품을 사고 싶지만 인증이 없어서 못 산다”는 말을 반복해서 들음
그래서 아침에 일어나면 “오늘은 XYZ-123 인증을 따야지”라고 생각함
컴플라이언스는 책임을 떠넘기는 게 아니라, 고객에게 신뢰를 증명하는 최소한의 조건임
모든 가치 있는 게임에는 참가비(table stakes) 가 있음
아무도 자발적으로 컴플라이언스를 하고 싶어하지 않지만,
법적·도덕적 의무가 있는 회사를 세웠다면 그건 스스로 감수해야 할 책임임
다른 회사에 떠넘기는 건 무책임한 행동임
Hacker News 의견들
많은 스타트업이 소규모 팀으로 빠르게 움직이는 특성이 있음
좋은 제품을 만들면 대기업이 구독을 원하지만, 인증 절차가 필요해짐
체크리스트는 유용하지만 지나치게 유럽식 관료주의에 맞춰져 있음
“7명짜리 회사의 리스크 레지스터는 어디 있나요?” 같은 질문을 받으며, 본업 대신 서류 작업에 매달리게 됨
실제로 아무도 읽지 않을 문서를 만들고, 존재하지 않는 프로세스를 꾸며내며, 민첩한 회사를 거대한 기업의 언어로 번역하는 상황이 됨
소규모 팀에 맞는 실용적이고 비례적인 표준이 필요함
내 회사는 Fortune 500인데, 조달 프로세스가 너무 복잡해서 SaaS를 도입하기 어려움
반면 경쟁사는 더 유연한 프로세스로 좋은 벤더를 빠르게 확보함. 이런 차이가 결국 경쟁력으로 이어짐
Level 1은 기본으로 좋고, Level 2는 비즈니스 리스크에 따라 선택적으로 적용 가능함
CIS Benchmarks도 살펴볼 가치가 있음. 클라우드, SaaS, OS 보안을 위한 모범 사례 모음임
만약 이 ‘기업 연극(corporate theater)’이 수익으로 이어진다면 그것도 비즈니스의 일부임
고객이 요구하는 방식으로 제품을 제공하지 않으면 결국 시장에서 도태됨
체크리스트를 통제하는 사람들이 이익을 얻는 구조임
컴플라이언스는 지름길을 찾지 않고 제대로 시간을 들이면 그렇게 어렵지 않음
AWS는 진짜 의미의 CaaS(Compliance as a Service) 제공자라고 생각함
AWS Artifact를 통해 고객이 복잡한 인증 과정을 쉽게 통과하도록 지원함
물론 소프트웨어나 정책은 여전히 사용자의 책임이지만, 물리 보안·하드웨어 관리·재해 복구 등은 사실상 “무료로” 제공됨
다만 Hetzner 같은 단순 인프라 제공자와 비교하면 비용 프리미엄이 꽤 큼
20대 초반 창업가들이 컴플라이언스 감사 문제를 열정적으로 해결하려 할 가능성이 얼마나 될까 궁금함
너무 지루한 분야라 흥미를 느끼기 어렵다고 생각함. 아니면 단순히 기회 때문에 뛰어드는 걸까?
평범해 보이는 문제일수록 돈이 된다는 말이 있음
Joel Spolsky의 글 “Where there’s muck, there’s brass”처럼 말임
20대의 뛰어난 엔지니어들이 Compliance Management System 모니터링을 개발 중임
AI를 활용해 오랜 비즈니스 문제를 해결하고 있음. 미국 동부에서는 은행·전력·헬스케어 등에서 큰 시장임
다행히 기술적인 부분은 흥미로움
고객 입장에서는 컴플라이언스가 너무 고통스러워서, 조금만 자동화돼도 큰 가치가 있음
똑똑한 20대들을 모아 “산업을 혁신하겠다”는 명목으로 투자받는 구조임
McKinsey 컨설턴트들이 일 자체보다 브랜드 네임으로 영향력을 얻는 것과 비슷함
YC도 그런 역할을 하는 듯함
설령 이 글이 경쟁사의 공격이라 해도, 제시된 증거가 매우 강력함
만약 허위라면 명예훼손 손해액이 수천만 달러에 이를 것임
이런 폭로를 감수한 용기에 존경을 표함
글쓴이와 그 네트워크가 자신들의 인증이 무효로 드러난 후에야 문제를 제기하는 게 흥미로움
이제 와서 자신들이 ‘Delve를 폭로한 정의로운 사람들’인 척하는 모습임
나는 이 과정을 직접 겪었음
인증 기관이 검증 없이 돈만 받고 인증서를 발급한 게 근본적 실패라고 생각함
Delve 같은 중개업체는 그 실패를 증폭시킨 존재임
업계 사람이라면 이게 단순한 보안 연극(security theater) 임을 다 알고 있었음
글의 깊이가 인상적이었음
우리도 최근 Drata를 검토 중이었는데, 처음엔 꽤 괜찮아 보였음
하지만 이런 사건이 터질 때마다 아직 밝혀지지 않은 사기가 얼마나 많을지 궁금해짐
테스트의 유일한 목적은 실패를 발견하는 것임
모두가 그냥 따라가는 분위기 속에서 이런 문제를 공개적으로 지적하는 게 신선함
이 글을 LinkedIn에서 봤는데, 정말 흥미로웠음
이렇게 깊이 파고든 글이라면 지금쯤 HN 상단에 있어야 한다고 생각함
여기가 Y Combinator 사이트라는 점을 생각하면 가능성 있음
내가 아는 몇몇 회사는 Delve를 통해 5일 만에 SOC 2 Type 2 리포트를 받았다고 함
“SOC 2 in days”라는 마케팅 문구도 그대로 사용함. 믿기 어려움
컴플라이언스는 누구도 원하지 않지만 모두가 필요로 하는 것임
결국 책임 전가를 위한 서비스로 여겨짐
규제 기관이 물으면 Delve 같은 곳의 인증서를 보여주고 끝내는 구조임
SaaS 제공자는 고객 데이터를 보호할 책임감을 가져야 함
컴플라이언스 프레임워크는 그 노력을 돕는 도구임
갭을 찾고, 리스크를 파악하고, 개선을 추진하며, 파트너에게 우리의 수준을 설명하는 수단임
Medium 글에서 묘사된 행위는 단순한 사기임
나는 창업자로서 고객에게 최고 수준의 신뢰를 제공하고 싶음
컴플라이언스도 마찬가지임
대부분은 보안 향상보다 보험 요건 충족을 위해 우리를 고용했음
결국 책임을 전가하려는 구조였음
실제로 많은 창업자가 “우리 제품을 사고 싶지만 인증이 없어서 못 산다”는 말을 반복해서 들음
그래서 아침에 일어나면 “오늘은 XYZ-123 인증을 따야지”라고 생각함
컴플라이언스는 책임을 떠넘기는 게 아니라, 고객에게 신뢰를 증명하는 최소한의 조건임
모든 가치 있는 게임에는 참가비(table stakes) 가 있음
법적·도덕적 의무가 있는 회사를 세웠다면 그건 스스로 감수해야 할 책임임
다른 회사에 떠넘기는 건 무책임한 행동임