Delve – 가짜 컴플라이언스 서비스

 (deepdelver.substack.com)
1P by GN⁺ 5시간전 | ★ favorite | 댓글 1개
  • Delve 플랫폼이 실제 보안 통제 없이 ‘준수한 것처럼 보이게 만드는 시스템’ 으로 운영되고 있음이 폭로됨
  • 내부 조사와 유출된 스프레드시트 분석 결과, 감사 보고서·테스트·결론이 Delve에 의해 자동 생성되고 인도 기반 인증 기관들이 이를 형식적으로 서명한 것으로 드러남
  • 고객사는 가짜 증거·허위 회의록·자동 채워진 정책 문서를 채택해 SOC 2·ISO 27001·HIPAA·GDPR 인증을 받은 것처럼 표시됨
  • Delve는 AI 기반 자동화를 내세우지만 실제로는 수동 입력과 스크린샷 업로드 중심의 폼 시스템이며, 대부분의 ‘통합’ 기능은 작동하지 않음
  • 이로 인해 수백 개 기업이 허위 보안 상태를 외부에 공표하고 있으며, HIPAA·GDPR 위반 및 법적 책임 위험에 노출됨

Delve의 구조적 문제와 핵심 폭로

  • Delve는 SOC 2, ISO 27001, HIPAA, GDPR 등 컴플라이언스 자동화 플랫폼으로 홍보되었으나, 실제로는 감사 독립성 원칙을 위반하고 자체적으로 감사 결론을 작성함
    • 감사 보고서 초안에는 이미 Delve가 작성한 결론과 테스트 절차가 포함되어 있었으며, 고객은 이름·서명·다이어그램만 채워 넣음
    • 모든 보고서가 동일한 문장 구조와 오타를 공유하며, 575개 중 99% 이상이 동일 텍스트를 포함함
  • 유출된 구글 스프레드시트에는 수백 개 고객의 감사 보고서 링크가 포함되어 있었고, 개인 서명·시스템 다이어그램 등 민감 정보가 노출됨
    • Delve CEO는 이를 “AI가 생성한 허위 이메일”이라 주장했으나, 실제 문서가 공개 아카이브에서 확인됨

감사 독립성 위반과 허위 감사 체계

  • Delve는 감사인 역할을 직접 수행하며 AICPA 규정을 위반
    • 감사 결론이 사전 작성되어 독립적 검증이 불가능한 구조
    • 인도 기반 인증 기관 Accorp, Gradient, BQC, Glocert 등이 미국 법인 껍데기를 통해 보고서에 서명
    • 일부 보고서에는 잘못된 감사사 라이선스 번호가 포함되어 동일 템플릿 복제 정황이 확인됨
  • 감사 담당자로 표시된 Jayshree Dutta는 미국 CPA가 아니며, 인도 기업 CyberTryZub 및 BQC 소속으로 확인됨

제품과 프로세스의 허위성

  • Delve의 ‘AI 자동화’는 실제 AI 기능이 거의 없는 수동 폼 기반 시스템
    • 대부분의 ‘통합(integration)’은 인증 절차 없이 스크린샷 업로드만 요구
    • 정책·리스크 평가·보안 시뮬레이션 등은 기본값이 채워진 템플릿으로 구성되어 클릭만으로 완료 가능
  • Pathways 모듈은 Delve가 자체 개발했다고 주장했으나, 오픈소스 SimStudio를 무단 사용한 것으로 확인됨
  • 고객은 가짜 회의록·보안 테스트 결과·정책 문서를 채택해야 하며, 이를 거부하면 대부분의 작업을 수동으로 수행해야 함

허위 보고서와 신뢰 페이지 조작

  • Delve의 Trust Page는 실제 구현되지 않은 보안 통제를 ‘완료’로 표시
    • 322개 SOC 2 고객 중 321개가 동일한 51개 통제 항목을 사용
    • MDM, 침입 탐지, 백업, 데이터 삭제 등 존재하지 않는 보안 조치가 자동 표시됨
  • SOC 2 Type II 보고서에는 “보안·가용성·기밀성·프라이버시” 등 모든 기준을 충족했다고 명시하지만, 실제 테스트는 보안 항목 하나만 수행
    • 모든 보고서가 “예외 없음(No exceptions noted)” 문구로 동일하게 끝남

규제 및 법적 위험

  • Delve의 허위 프로세스로 인해 고객사는 GDPR·HIPAA 위반 상태에 놓임
    • HIPAA 위반 시 형사 처벌, GDPR 위반 시 전 세계 매출의 최대 4% 벌금 가능
    • 의료·국방 관련 데이터를 처리하는 기업도 포함되어 있어 국가 안보 수준의 위험 초래
  • Delve 고객은 자신도 모르게 허위 인증 보고서를 외부에 제출했으며, 계약상·평판상 책임을 질 수 있음

결론 및 권고

  • Delve는 ‘가짜 컴플라이언스 자동화’ 구조를 산업화한 사례로, 고객을 법적 위험에 노출시킴
  • 기존 고객은 Delve와의 모든 커뮤니케이션을 서면으로 기록하고, 감사 생성·감사인 독립성·데이터 유출 범위를 명확히 질의해야 함
  • Delve가 주장하는 “AI 기반 신뢰 프로세스”는 형식적 문서 생성 시스템에 불과하며, 실질적 보안 검증 기능이 없음
  • 이 사건은 컴플라이언스 자동화 시장의 신뢰 붕괴를 보여주며, 독립 감사와 실질적 보안 통제의 중요성을 다시 부각시킴
GN⁺ 5시간전  [-]
Hacker News 의견들

  • 많은 스타트업이 소규모 팀으로 빠르게 움직이는 특성이 있음
    좋은 제품을 만들면 대기업이 구독을 원하지만, 인증 절차가 필요해짐
    체크리스트는 유용하지만 지나치게 유럽식 관료주의에 맞춰져 있음
    “7명짜리 회사의 리스크 레지스터는 어디 있나요?” 같은 질문을 받으며, 본업 대신 서류 작업에 매달리게 됨
    실제로 아무도 읽지 않을 문서를 만들고, 존재하지 않는 프로세스를 꾸며내며, 민첩한 회사를 거대한 기업의 언어로 번역하는 상황이 됨
    소규모 팀에 맞는 실용적이고 비례적인 표준이 필요함

    • 완전히 공감함. 하지만 대기업이 이런 표준을 더 지능적으로 적용하면 오히려 경쟁 우위를 가지지 않을까 생각함
      내 회사는 Fortune 500인데, 조달 프로세스가 너무 복잡해서 SaaS를 도입하기 어려움
      반면 경쟁사는 더 유연한 프로세스로 좋은 벤더를 빠르게 확보함. 이런 차이가 결국 경쟁력으로 이어짐
    • 나는 CIS Controls v8.1이 현실적이고 보안에 실제 도움이 된다고 느낌
      Level 1은 기본으로 좋고, Level 2는 비즈니스 리스크에 따라 선택적으로 적용 가능함
      CIS Benchmarks도 살펴볼 가치가 있음. 클라우드, SaaS, OS 보안을 위한 모범 사례 모음임
    • 팀이 준비되지 않았다면 실사(due diligence) 를 억지로 통과하려 하지 말아야 함
    • 비즈니스의 목적은 결국 이익 창출
      만약 이 ‘기업 연극(corporate theater)’이 수익으로 이어진다면 그것도 비즈니스의 일부임
      고객이 요구하는 방식으로 제품을 제공하지 않으면 결국 시장에서 도태됨
    • 이런 복잡한 인증 절차는 일부 세력이 고객 접근을 통제하기 위해 설계된 장치라고 생각함
      체크리스트를 통제하는 사람들이 이익을 얻는 구조임

  • 컴플라이언스는 지름길을 찾지 않고 제대로 시간을 들이면 그렇게 어렵지 않음
    AWS는 진짜 의미의 CaaS(Compliance as a Service) 제공자라고 생각함
    AWS Artifact를 통해 고객이 복잡한 인증 과정을 쉽게 통과하도록 지원함
    물론 소프트웨어나 정책은 여전히 사용자의 책임이지만, 물리 보안·하드웨어 관리·재해 복구 등은 사실상 “무료로” 제공됨

    • 이런 혜택은 AWS뿐 아니라 주요 클라우드 제공자 모두에게 해당됨
      다만 Hetzner 같은 단순 인프라 제공자와 비교하면 비용 프리미엄이 꽤 큼

  • 20대 초반 창업가들이 컴플라이언스 감사 문제를 열정적으로 해결하려 할 가능성이 얼마나 될까 궁금함
    너무 지루한 분야라 흥미를 느끼기 어렵다고 생각함. 아니면 단순히 기회 때문에 뛰어드는 걸까?

    • 지루한 문제를 푸는 게 오히려 스타트업의 정석
      평범해 보이는 문제일수록 돈이 된다는 말이 있음
      Joel Spolsky의 글 “Where there’s muck, there’s brass”처럼 말임
    • 나는 규제 산업용 맞춤 소프트웨어를 만드는 회사에서 일함
      20대의 뛰어난 엔지니어들이 Compliance Management System 모니터링을 개발 중임
      AI를 활용해 오랜 비즈니스 문제를 해결하고 있음. 미국 동부에서는 은행·전력·헬스케어 등에서 큰 시장임
    • 열정이라기보다 돈을 벌고 싶은 욕구가 강한 20대가 많다고 생각함
    • 나도 이 업계에 있지만, 도메인은 정말 건조하고 재미없음
      다행히 기술적인 부분은 흥미로움
      고객 입장에서는 컴플라이언스가 너무 고통스러워서, 조금만 자동화돼도 큰 가치가 있음
    • 이건 일종의 새로운 컨설팅 모델 같음
      똑똑한 20대들을 모아 “산업을 혁신하겠다”는 명목으로 투자받는 구조임
      McKinsey 컨설턴트들이 일 자체보다 브랜드 네임으로 영향력을 얻는 것과 비슷함
      YC도 그런 역할을 하는 듯함

  • 설령 이 글이 경쟁사의 공격이라 해도, 제시된 증거가 매우 강력
    만약 허위라면 명예훼손 손해액이 수천만 달러에 이를 것임
    이런 폭로를 감수한 용기에 존경을 표함

  • 글쓴이와 그 네트워크가 자신들의 인증이 무효로 드러난 후에야 문제를 제기하는 게 흥미로움
    이제 와서 자신들이 ‘Delve를 폭로한 정의로운 사람들’인 척하는 모습임

  • 나는 이 과정을 직접 겪었음
    인증 기관이 검증 없이 돈만 받고 인증서를 발급한 게 근본적 실패라고 생각함
    Delve 같은 중개업체는 그 실패를 증폭시킨 존재
    업계 사람이라면 이게 단순한 보안 연극(security theater) 임을 다 알고 있었음

  • 글의 깊이가 인상적이었음
    우리도 최근 Drata를 검토 중이었는데, 처음엔 꽤 괜찮아 보였음
    하지만 이런 사건이 터질 때마다 아직 밝혀지지 않은 사기가 얼마나 많을지 궁금해짐

  • 테스트의 유일한 목적은 실패를 발견하는 것
    모두가 그냥 따라가는 분위기 속에서 이런 문제를 공개적으로 지적하는 게 신선함

  • 이 글을 LinkedIn에서 봤는데, 정말 흥미로웠음
    이렇게 깊이 파고든 글이라면 지금쯤 HN 상단에 있어야 한다고 생각함

    • 아마도 의도적으로 노출이 억제된 것 같음
      여기가 Y Combinator 사이트라는 점을 생각하면 가능성 있음
      내가 아는 몇몇 회사는 Delve를 통해 5일 만에 SOC 2 Type 2 리포트를 받았다고 함
      “SOC 2 in days”라는 마케팅 문구도 그대로 사용함. 믿기 어려움

  • 컴플라이언스는 누구도 원하지 않지만 모두가 필요로 하는 것임
    결국 책임 전가를 위한 서비스로 여겨짐
    규제 기관이 물으면 Delve 같은 곳의 인증서를 보여주고 끝내는 구조임

    • 나는 그런 곳에서 일하고 싶지 않음
      SaaS 제공자는 고객 데이터를 보호할 책임감을 가져야 함
      컴플라이언스 프레임워크는 그 노력을 돕는 도구임
      갭을 찾고, 리스크를 파악하고, 개선을 추진하며, 파트너에게 우리의 수준을 설명하는 수단임
      Medium 글에서 묘사된 행위는 단순한 사기
      나는 창업자로서 고객에게 최고 수준의 신뢰를 제공하고 싶음
    • 아무도 세금 내거나 빨래하고 싶어하지 않지만, 해야 하는 일
      컴플라이언스도 마찬가지임
    • 내가 사이버보안 업계에 있을 때도 비슷했음
      대부분은 보안 향상보다 보험 요건 충족을 위해 우리를 고용했음
      결국 책임을 전가하려는 구조였음
    • B2B 업계를 모르는 말 같음
      실제로 많은 창업자가 “우리 제품을 사고 싶지만 인증이 없어서 못 산다”는 말을 반복해서 들음
      그래서 아침에 일어나면 “오늘은 XYZ-123 인증을 따야지”라고 생각함
      컴플라이언스는 책임을 떠넘기는 게 아니라, 고객에게 신뢰를 증명하는 최소한의 조건
      모든 가치 있는 게임에는 참가비(table stakes) 가 있음
    • 아무도 자발적으로 컴플라이언스를 하고 싶어하지 않지만,
      법적·도덕적 의무가 있는 회사를 세웠다면 그건 스스로 감수해야 할 책임
      다른 회사에 떠넘기는 건 무책임한 행동임
답변달기