# Delve – 가짜 컴플라이언스 서비스

> Clean Markdown view of GeekNews topic #27685. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=27685](https://news.hada.io/topic?id=27685)
- GeekNews Markdown: [https://news.hada.io/topic/27685.md](https://news.hada.io/topic/27685.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-03-21T05:33:40+09:00
- Updated: 2026-03-21T05:33:40+09:00
- Original source: [deepdelver.substack.com](https://deepdelver.substack.com/p/delve-fake-compliance-as-a-service)
- Points: 1
- Comments: 1

## Topic Body

- **Delve 플랫폼**이 실제 보안 통제 없이 **‘준수한 것처럼 보이게 만드는 시스템’** 으로 운영되고 있음이 폭로됨  
- 내부 조사와 유출된 스프레드시트 분석 결과, **감사 보고서·테스트·결론이 Delve에 의해 자동 생성**되고 인도 기반 인증 기관들이 이를 **형식적으로 서명**한 것으로 드러남  
- 고객사는 **가짜 증거·허위 회의록·자동 채워진 정책 문서**를 채택해 SOC 2·ISO 27001·HIPAA·GDPR 인증을 받은 것처럼 표시됨  
- Delve는 **AI 기반 자동화**를 내세우지만 실제로는 **수동 입력과 스크린샷 업로드 중심의 폼 시스템**이며, 대부분의 ‘통합’ 기능은 작동하지 않음  
- 이로 인해 수백 개 기업이 **허위 보안 상태를 외부에 공표**하고 있으며, HIPAA·GDPR 위반 및 법적 책임 위험에 노출됨  

---

### Delve의 구조적 문제와 핵심 폭로
- Delve는 SOC 2, ISO 27001, HIPAA, GDPR 등 **컴플라이언스 자동화 플랫폼**으로 홍보되었으나, 실제로는 **감사 독립성 원칙을 위반**하고 자체적으로 감사 결론을 작성함  
  - 감사 보고서 초안에는 이미 **Delve가 작성한 결론과 테스트 절차**가 포함되어 있었으며, 고객은 이름·서명·다이어그램만 채워 넣음  
  - 모든 보고서가 동일한 문장 구조와 오타를 공유하며, **575개 중 99% 이상이 동일 텍스트**를 포함함  
- 유출된 구글 스프레드시트에는 **수백 개 고객의 감사 보고서 링크**가 포함되어 있었고, 개인 서명·시스템 다이어그램 등 민감 정보가 노출됨  
  - Delve CEO는 이를 “AI가 생성한 허위 이메일”이라 주장했으나, 실제 문서가 공개 아카이브에서 확인됨  

### 감사 독립성 위반과 허위 감사 체계
- Delve는 **감사인 역할을 직접 수행**하며 AICPA 규정을 위반  
  - 감사 결론이 사전 작성되어 독립적 검증이 불가능한 구조  
  - 인도 기반 인증 기관 **Accorp, Gradient, BQC, Glocert** 등이 **미국 법인 껍데기**를 통해 보고서에 서명  
  - 일부 보고서에는 **잘못된 감사사 라이선스 번호**가 포함되어 동일 템플릿 복제 정황이 확인됨  
- 감사 담당자로 표시된 **Jayshree Dutta**는 미국 CPA가 아니며, 인도 기업 CyberTryZub 및 BQC 소속으로 확인됨  

### 제품과 프로세스의 허위성
- Delve의 ‘AI 자동화’는 **실제 AI 기능이 거의 없는 수동 폼 기반 시스템**  
  - 대부분의 ‘통합(integration)’은 **인증 절차 없이 스크린샷 업로드만 요구**  
  - 정책·리스크 평가·보안 시뮬레이션 등은 **기본값이 채워진 템플릿**으로 구성되어 클릭만으로 완료 가능  
- **Pathways** 모듈은 Delve가 자체 개발했다고 주장했으나, **오픈소스 SimStudio**를 무단 사용한 것으로 확인됨  
- 고객은 **가짜 회의록·보안 테스트 결과·정책 문서**를 채택해야 하며, 이를 거부하면 대부분의 작업을 수동으로 수행해야 함  

### 허위 보고서와 신뢰 페이지 조작
- Delve의 **Trust Page**는 실제 구현되지 않은 보안 통제를 ‘완료’로 표시  
  - 322개 SOC 2 고객 중 321개가 **동일한 51개 통제 항목**을 사용  
  - MDM, 침입 탐지, 백업, 데이터 삭제 등 **존재하지 않는 보안 조치**가 자동 표시됨  
- SOC 2 Type II 보고서에는 **“보안·가용성·기밀성·프라이버시”** 등 모든 기준을 충족했다고 명시하지만, 실제 테스트는 **보안 항목 하나만 수행**  
  - 모든 보고서가 “예외 없음(No exceptions noted)” 문구로 동일하게 끝남  

### 규제 및 법적 위험
- Delve의 허위 프로세스로 인해 고객사는 **GDPR·HIPAA 위반 상태**에 놓임  
  - HIPAA 위반 시 형사 처벌, GDPR 위반 시 **전 세계 매출의 최대 4% 벌금** 가능  
  - 의료·국방 관련 데이터를 처리하는 기업도 포함되어 있어 **국가 안보 수준의 위험** 초래  
- Delve 고객은 자신도 모르게 **허위 인증 보고서를 외부에 제출**했으며, 계약상·평판상 책임을 질 수 있음  

### 결론 및 권고
- Delve는 **‘가짜 컴플라이언스 자동화’ 구조를 산업화한 사례**로, 고객을 법적 위험에 노출시킴  
- 기존 고객은 Delve와의 모든 커뮤니케이션을 **서면으로 기록**하고, **감사 생성·감사인 독립성·데이터 유출 범위**를 명확히 질의해야 함  
- Delve가 주장하는 “AI 기반 신뢰 프로세스”는 **형식적 문서 생성 시스템**에 불과하며, **실질적 보안 검증 기능이 없음**  
- 이 사건은 **컴플라이언스 자동화 시장의 신뢰 붕괴**를 보여주며, **독립 감사와 실질적 보안 통제의 중요성**을 다시 부각시킴

## Comments



### Comment 53473

- Author: neo
- Created: 2026-03-21T05:33:40+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47444319) 
- 많은 스타트업이 **소규모 팀**으로 빠르게 움직이는 특성이 있음  
  좋은 제품을 만들면 대기업이 구독을 원하지만, 인증 절차가 필요해짐  
  체크리스트는 유용하지만 지나치게 **유럽식 관료주의**에 맞춰져 있음  
  “7명짜리 회사의 리스크 레지스터는 어디 있나요?” 같은 질문을 받으며, 본업 대신 서류 작업에 매달리게 됨  
  실제로 아무도 읽지 않을 문서를 만들고, 존재하지 않는 프로세스를 꾸며내며, 민첩한 회사를 거대한 기업의 언어로 번역하는 상황이 됨  
  소규모 팀에 맞는 **실용적이고 비례적인 표준**이 필요함
  - 완전히 공감함. 하지만 대기업이 이런 표준을 **더 지능적으로 적용**하면 오히려 경쟁 우위를 가지지 않을까 생각함  
    내 회사는 Fortune 500인데, 조달 프로세스가 너무 복잡해서 SaaS를 도입하기 어려움  
    반면 경쟁사는 더 유연한 프로세스로 좋은 벤더를 빠르게 확보함. 이런 차이가 결국 경쟁력으로 이어짐
  - 나는 **CIS Controls v8.1**이 현실적이고 보안에 실제 도움이 된다고 느낌  
    Level 1은 기본으로 좋고, Level 2는 비즈니스 리스크에 따라 선택적으로 적용 가능함  
    **CIS Benchmarks**도 살펴볼 가치가 있음. 클라우드, SaaS, OS 보안을 위한 모범 사례 모음임
  - 팀이 준비되지 않았다면 **실사(due diligence)** 를 억지로 통과하려 하지 말아야 함
  - 비즈니스의 목적은 결국 **이익 창출**임  
    만약 이 ‘기업 연극(corporate theater)’이 수익으로 이어진다면 그것도 비즈니스의 일부임  
    고객이 요구하는 방식으로 제품을 제공하지 않으면 결국 시장에서 도태됨
  - 이런 복잡한 인증 절차는 **일부 세력이 고객 접근을 통제하기 위해 설계된 장치**라고 생각함  
    체크리스트를 통제하는 사람들이 이익을 얻는 구조임

- **컴플라이언스**는 지름길을 찾지 않고 제대로 시간을 들이면 그렇게 어렵지 않음  
  AWS는 진짜 의미의 **CaaS(Compliance as a Service)** 제공자라고 생각함  
  [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)를 통해 고객이 복잡한 인증 과정을 쉽게 통과하도록 지원함  
  물론 소프트웨어나 정책은 여전히 사용자의 책임이지만, 물리 보안·하드웨어 관리·재해 복구 등은 사실상 “무료로” 제공됨
  - 이런 혜택은 AWS뿐 아니라 주요 클라우드 제공자 모두에게 해당됨  
    다만 Hetzner 같은 단순 인프라 제공자와 비교하면 **비용 프리미엄**이 꽤 큼

- 20대 초반 창업가들이 **컴플라이언스 감사** 문제를 열정적으로 해결하려 할 가능성이 얼마나 될까 궁금함  
  너무 지루한 분야라 흥미를 느끼기 어렵다고 생각함. 아니면 단순히 **기회** 때문에 뛰어드는 걸까?
  - 지루한 문제를 푸는 게 오히려 **스타트업의 정석**임  
    평범해 보이는 문제일수록 돈이 된다는 말이 있음  
    Joel Spolsky의 글 [“Where there’s muck, there’s brass”](https://www.joelonsoftware.com/2007/12/06/where-theres-muck-theres-brass/)처럼 말임
  - 나는 규제 산업용 맞춤 소프트웨어를 만드는 회사에서 일함  
    20대의 뛰어난 엔지니어들이 **Compliance Management System 모니터링**을 개발 중임  
    AI를 활용해 오랜 비즈니스 문제를 해결하고 있음. 미국 동부에서는 은행·전력·헬스케어 등에서 큰 시장임
  - 열정이라기보다 **돈을 벌고 싶은 욕구**가 강한 20대가 많다고 생각함
  - 나도 이 업계에 있지만, 도메인은 정말 **건조하고 재미없음**  
    다행히 기술적인 부분은 흥미로움  
    고객 입장에서는 컴플라이언스가 너무 고통스러워서, 조금만 자동화돼도 큰 가치가 있음
  - 이건 일종의 **새로운 컨설팅 모델** 같음  
    똑똑한 20대들을 모아 “산업을 혁신하겠다”는 명목으로 투자받는 구조임  
    McKinsey 컨설턴트들이 일 자체보다 **브랜드 네임**으로 영향력을 얻는 것과 비슷함  
    YC도 그런 역할을 하는 듯함

- 설령 이 글이 경쟁사의 공격이라 해도, 제시된 **증거가 매우 강력**함  
  만약 허위라면 명예훼손 손해액이 수천만 달러에 이를 것임  
  이런 폭로를 감수한 용기에 존경을 표함

- 글쓴이와 그 네트워크가 자신들의 인증이 **무효로 드러난 후에야** 문제를 제기하는 게 흥미로움  
  이제 와서 자신들이 ‘Delve를 폭로한 정의로운 사람들’인 척하는 모습임

- 나는 이 과정을 직접 겪었음  
  인증 기관이 **검증 없이 돈만 받고 인증서를 발급**한 게 근본적 실패라고 생각함  
  Delve 같은 중개업체는 그 실패를 **증폭시킨 존재**임  
  업계 사람이라면 이게 단순한 **보안 연극(security theater)** 임을 다 알고 있었음

- 글의 깊이가 인상적이었음  
  우리도 최근 Drata를 검토 중이었는데, 처음엔 꽤 괜찮아 보였음  
  하지만 이런 사건이 터질 때마다 **아직 밝혀지지 않은 사기**가 얼마나 많을지 궁금해짐

- 테스트의 유일한 목적은 **실패를 발견하는 것**임  
  모두가 그냥 따라가는 분위기 속에서 이런 문제를 공개적으로 지적하는 게 신선함

- 이 글을 LinkedIn에서 봤는데, 정말 흥미로웠음  
  이렇게 깊이 파고든 글이라면 지금쯤 HN 상단에 있어야 한다고 생각함
  - 아마도 **의도적으로 노출이 억제**된 것 같음  
    여기가 Y Combinator 사이트라는 점을 생각하면 가능성 있음  
    내가 아는 몇몇 회사는 Delve를 통해 **5일 만에 SOC 2 Type 2 리포트**를 받았다고 함  
    “SOC 2 in days”라는 마케팅 문구도 그대로 사용함. 믿기 어려움

- 컴플라이언스는 누구도 원하지 않지만 모두가 필요로 하는 것임  
  결국 **책임 전가를 위한 서비스**로 여겨짐  
  규제 기관이 물으면 Delve 같은 곳의 인증서를 보여주고 끝내는 구조임
  - 나는 그런 곳에서 일하고 싶지 않음  
    SaaS 제공자는 고객 데이터를 보호할 **책임감**을 가져야 함  
    컴플라이언스 프레임워크는 그 노력을 돕는 도구임  
    갭을 찾고, 리스크를 파악하고, 개선을 추진하며, 파트너에게 우리의 수준을 설명하는 수단임  
    Medium 글에서 묘사된 행위는 단순한 **사기**임  
    나는 창업자로서 고객에게 최고 수준의 신뢰를 제공하고 싶음
  - 아무도 세금 내거나 빨래하고 싶어하지 않지만, **해야 하는 일**임  
    컴플라이언스도 마찬가지임
  - 내가 사이버보안 업계에 있을 때도 비슷했음  
    대부분은 보안 향상보다 **보험 요건 충족**을 위해 우리를 고용했음  
    결국 책임을 전가하려는 구조였음
  - B2B 업계를 모르는 말 같음  
    실제로 많은 창업자가 “우리 제품을 사고 싶지만 인증이 없어서 못 산다”는 말을 반복해서 들음  
    그래서 아침에 일어나면 “오늘은 XYZ-123 인증을 따야지”라고 생각함  
    컴플라이언스는 책임을 떠넘기는 게 아니라, **고객에게 신뢰를 증명하는 최소한의 조건**임  
    모든 가치 있는 게임에는 **참가비(table stakes)** 가 있음
  - 아무도 자발적으로 컴플라이언스를 하고 싶어하지 않지만,  
    법적·도덕적 의무가 있는 회사를 세웠다면 그건 **스스로 감수해야 할 책임**임  
    다른 회사에 떠넘기는 건 무책임한 행동임