AI 요약
최근 익명의 서브스택(Substack) 게시글을 통해 Y 컴비네이터(Y Combinator)가 지원하는 컴플라이언스 스타트업 '델브(Delve)'가 수백 명의 고객을 기만했다는 폭로가 나왔습니다. 'DeepDelver'라는 필명의 제보자는 델브가 실제로는 수행되지 않은 이사회 회의, 테스트, 프로세스 등에 대한 '조작된 증거'를 생성하여 고객들이 보안 및 개인정보 보호 규정을 100% 준수한 것처럼 속였다고 주장했습니다. 특히 이 과정에서 인도에 기반을 둔 특정 감사 법인들을 이용해 부실한 인증 보고서를 남발했다는 의혹이 핵심입니다. 델브는 작년 인사이트 파트너스(Insight Partners)의 주도로 3억 달러의 기업 가치를 인정받으며 3,200만 달러 규모의 시리즈 A 투자를 유치한 유망 기업이었으나, 이번 의혹으로 인해 고객들이 HIPAA 위반에 따른 형사 책임이나 GDPR에 의한 막대한 과징금에 처할 위기에 놓였습니다. 이에 대해 델브의 CEO 카룬 카우식(Karun Kaushik)은 공식 블로그를 통해 해당 주장이 부정확하고 오도된 것이라며 반박에 나섰습니다.
핵심 인사이트
- 대규모 투자 유치 배경: 델브는 인사이트 파트너스(Insight Partners) 주도로 3,200만 달러(약 420억 원) 규모의 시리즈 A 투자를 유치했으며, 당시 기업 가치는 3억 달러(약 4,000억 원)로 평가받았습니다.
- 법적 리스크 노출: 허위 컴플라이언스로 인해 고객사들은 미국 의료정보보호법(HIPAA)에 따른 형사 처벌 및 유럽 개인정보보호법(GDPR)에 따른 고액의 과징금 위협에 직면했습니다.
- 내부 고발의 시작: 이번 의혹은 2025년 12월 델브가 고객 보고서가 포함된 스프레드시트를 유출한 사건 이후, 이에 의구심을 품은 전직 고객들이 공동 조사에 착수하면서 수면 위로 떠올랐습니다.
- 부실 감사 의혹: 제보자는 델브의 거의 모든 고객이 인도에 주로 상주하며 형식적인 서류 검토만 수행하는 'Accorp'와 'Gradient'라는 두 감사 법인을 통해서만 인증을 통과했다고 폭로했습니다.
주요 디테일
- 증거 조작 방식: 델브는 실제 자동화나 AI를 사용하는 대신, 존재하지 않았던 이사회 회의 기록이나 테스트 절차 등 허위 증거를 생성하여 고객에게 제공했다는 혐의를 받고 있습니다.
- 100% 컴플라이언스의 함정: 주요 프레임워크 요구 사항을 건너뛰면서도 고객에게는 규제를 완벽히 준수했다고 안내하여 '가장 빠른 플랫폼'이라는 명성을 유지했습니다.
- CEO의 대응: 델브의 CEO 카룬 카우식은 고객들에게 보낸 이메일에서 민감한 데이터에 외부인이 접근하지 않았다고 보장했으나, 제보자는 이를 기만적 행위로 규정했습니다.
- 자동화의 부재: 제보에 따르면 델브는 실제 자동화 기술력이 부족하여 고객들에게 허위 증거를 채택하거나, 아니면 거의 수작업에 가까운 노동을 수행하도록 강요했습니다.
향후 전망
- 규제 당국 조사 가능성: HIPAA 및 GDPR 관련 법적 책임이 언급된 만큼, 미국 및 유럽 규제 당국의 조사가 이어질 가능성이 큽니다.
- 컴플라이언스 시장 신뢰 하락: AI와 자동화를 내세운 규제 준수 서비스 전반에 대한 신뢰도가 하락하고, 감사 법인(Accorp, Gradient 등)에 대한 자격 적절성 논란이 확산될 것으로 보입니다.