규정 준수 스타트업 Delve, '가짜 규정 준수' 의혹에 휩싸이다: 심층 분석

최근 기술 업계는 규정 준수 자동화 플랫폼 Delve를 둘러싼 충격적인 의혹으로 술렁이고 있습니다. Y Combinator의 지원을 받아 작년에 3억 달러의 기업 가치로 3,200만 달러의 시리즈 A 투자를 유치하며 성공 가도를 달리던 스타트업 Delve가 이제 ‘가짜 규정 준수(fake compliance)‘라는 심각한 혐의에 직면했습니다. 이 뉴스는 단순히 한 기업의 스캔들을 넘어, 빠르게 성장하는 규정 준수 기술 산업 전반에 대한 신뢰와 투명성의 중요성을 다시금 일깨우는 계기가 되고 있습니다.

익명의 Substack 게시물에서 제기된 이 의혹은 Delve가 수백 명의 고객들에게 개인 정보 보호 및 보안 규정(예: HIPAA, GDPR)을 준수하고 있다고 ‘거짓으로’ 확신시켰으며, 이로 인해 해당 고객들이 잠재적으로 ‘HIPAA에 따른 형사 책임과 GDPR에 따른 막대한 벌금’에 노출될 수 있다고 경고하고 있습니다. 데이터 프라이버시와 보안이 그 어느 때보다 중요해진 오늘날, 규정 준수를 돕는다는 회사가 오히려 규정 위반의 위험을 키웠다는 주장은 업계와 고객들에게 깊은 우려를 안겨주고 있습니다.

이번 논란은 특히 인공지능(AI)과 자동화 기술이 복잡한 규제 환경에서 중요한 역할을 하는 시점에서 발생했기에 더욱 주목할 만합니다. Delve와 같은 플랫폼은 기업들이 복잡한 규정 준수 요구 사항을 효율적으로 관리할 수 있도록 돕는 솔루션으로 각광받아왔습니다. 그러나 이러한 시스템의 근간이 되는 신뢰가 흔들린다면, 혁신적인 기술의 도입과 확산에도 제동이 걸릴 수 있다는 점에서 이번 사태의 파장은 클 것으로 예상됩니다. 이제 Delve를 둘러싼 구체적인 의혹과 이에 대한 회사의 반박, 그리고 이 사태가 시사하는 바를 자세히 들여다보겠습니다.

규정 준수 스타트업 Delve, ‘가짜 규정 준수’ 의혹에 휩싸이다

익명의 Substack 게시물, 즉 ‘DeepDelver’라는 필명의 전(前) Delve 고객사 직원에 의해 제기된 주장은 Delve의 사업 모델과 운영 방식에 대한 매우 심각한 의혹들을 담고 있습니다. DeepDelver는 Delve와의 경험을 통해 ‘뭔가 수상하다’는 느낌을 받았고, 다른 고객들과 함께 자체 조사를 진행한 결과 Delve가 규정 준수 분야에서 ‘빠른 플랫폼’이라는 주장을 달성하기 위해 ‘가짜 증거’를 만들어내고 있다고 주장했습니다. 이 주장은 규정 준수 산업의 근간을 흔드는 내용들을 포함하고 있습니다.

• ‘가짜 증거’ 생성 및 제공 의혹: DeepDelver는 Delve가 고객들에게 ‘실제로 일어나지 않은 이사회 회의, 테스트, 프로세스에 대한 위조된 증거’를 제공했다고 주장했습니다. 고객들은 이러한 가짜 증거를 채택하거나, Delve가 제공하는 자동화나 AI 기능이 거의 없는 수동 작업을 수행해야 하는 딜레마에 빠졌다고 합니다. 이는 규정 준수의 핵심인 투명성과 실제 실행력을 정면으로 부정하는 행위로 해석될 수 있습니다.

• 조직적인 감사 조작 주장: DeepDelver에 따르면, Delve의 거의 모든 고객사는 Accorp와 Gradient라는 두 감사 업체를 이용했다고 합니다. 이 두 업체는 ‘인도에서 주로 운영되며 미국에는 명목상의 존재만 있는 동일한 운영의 일부’라고 DeepDelver는 설명했습니다. 더 나아가, 이들 업체는 Delve가 생성한 보고서에 ‘고무 도장(rubber stamp)‘을 찍어주는 역할만 했을 뿐, 독립적인 감사를 제대로 수행하지 않았다는 의혹이 제기되었습니다. 이는 감사 절차의 독립성과 공정성을 심각하게 훼손하는 주장입니다.

• 규정 준수 구조 전복: DeepDelver는 Delve가 일반적인 규정 준수 구조를 ‘뒤바꾸었다’고 지적했습니다. 즉, 독립적인 검토가 이루어지기 전에 Delve가 ‘감사 결론, 테스트 절차, 최종 보고서를 생성함으로써’ 스스로를 ‘구현자이자 심사자’의 역할에 놓았다는 것입니다. DeepDelver는 이를 단순한 기술적인 문제가 아니라 ‘전체 증명을 무효화하는 구조적 사기’라고 강력하게 비판했습니다. 이는 규정 준수 과정의 무결성을 심각하게 훼손할 수 있는 핵심적인 부분입니다.

• 고객 기만 및 대중 오도 의혹: Delve는 고객들이 ‘실제로 구현되지 않은 보안 조치를 포함하는 신뢰 페이지(trust pages)를 호스팅함으로써 대중을 오도하는 것을 돕고 있다’는 혐의도 받고 있습니다. 기업의 신뢰 페이지는 고객과 대중에게 해당 기업의 보안 및 규정 준수 상태를 투명하게 보여주는 중요한 창구입니다. 만약 그 내용이 사실과 다르다면, 이는 고객뿐만 아니라 대중의 신뢰까지도 저버리는 행위가 됩니다.

• 내부 정보 유출 및 보안 취약성: Substack 게시물 발표 후, X 사용자 James Zhou는 Delve에서 ‘직원 신원 확인 정보, 주식 베스팅 일정’과 같은 민감한 정보에 접근할 수 있었다고 주장했습니다. 보안 전문가 Jamieson O’Reilly도 Zhou와의 대화에서 Delve의 ‘외부 공격 표면에 여러 개의 gaping security holes(커다란 보안 구멍)‘이 존재한다는 추가 세부 정보를 공유했습니다. 규정 준수를 표방하는 회사의 핵심 데이터와 보안 시스템 자체가 심각한 위협에 노출되어 있다는 주장은 Delve의 신뢰성에 큰 타격을 주고 있습니다. DeepDelver의 회사도 Delve와 문제를 논의하는 동안 Delve가 ‘도넛 여러 상자를 보내주었다’고 언급하며 불만을 무마하려는 시도가 있었음을 암시했습니다. 결국 DeepDelver의 고용주는 신뢰 페이지를 비공개로 전환하고 더 이상 Delve의 규정 준수 서비스를 이용하지 않고 있습니다.

Delve 측의 반박: 의혹에 대한 해명과 입장

Delve는 DeepDelver의 Substack 게시물에 대해 즉각적인 반박에 나섰습니다. Delve는 해당 게시물이 ‘오해의 소지가 있으며’ ‘다수의 부정확한 주장을 포함하고 있다’고 일축하며, 자신들의 사업 모델과 서비스 방식에 대한 입장을 명확히 밝혔습니다. 이러한 Delve의 해명은 DeepDelver의 주장이 제기하는 심각한 문제들에 대해 직접적으로 대응하고 있습니다.

• 규정 준수 보고서 발행 주체는 Delve가 아님: Delve는 스스로가 규정 준수 보고서를 발행하지 않는다고 강조했습니다. 대신, Delve는 규정 준수 관련 정보를 취합하는 ‘자동화 플랫폼’이며, 감사인에게 해당 정보에 대한 접근 권한을 제공하는 역할을 한다고 설명했습니다. 최종 보고서와 의견은 ‘오직 독립적이고 인가받은 감사인에 의해서만 발행되며, Delve가 발행하는 것이 아니다’라고 분명히 선을 그었습니다. 이는 Delve가 직접적으로 규정 준수를 ‘확인’하거나 ‘증명’하는 주체가 아니라는 점을 명확히 하려는 시도입니다.

• 감사 파트너 선택의 자율성 보장: DeepDelver가 Accorp와 Gradient 두 감사 업체를 지목한 것에 대해, Delve는 고객들이 ‘자신이 선택하는 감사인과 협력하거나, Delve의 독립적이고 공인된 제3자 감사 법인 네트워크에 속한 감사인과 협력할 수 있다’고 반박했습니다. Delve 측은 자신들의 네트워크에 속한 감사인들도 ‘다른 규정 준수 플랫폼에서도 광범위하게 사용되는 업계 전반에 걸쳐 확립된 기업들’이라고 주장하며, 이들 감사 법인의 공신력과 독립성을 강조했습니다.

• ‘템플릿’과 ‘사전 작성된 증거’의 차이: ‘가짜 증거’를 제공한다는 의혹에 대해 Delve는 고객들이 ‘규정 준수 요구 사항에 따라 프로세스를 문서화하는 데 도움을 주기 위해 템플릿을 제공할 뿐이며, 다른 규정 준수 플랫폼들도 그렇게 한다’고 설명했습니다. Delve는 ‘초안 템플릿이 ‘미리 채워진 증거’와 동일하지 않다’고 강조하며, 자신들이 제공하는 것은 단지 고객의 문서화 작업을 돕는 도구일 뿐, 위조된 증거를 제공하는 것이 아니라고 선을 그었습니다. 또한 Delve는 ‘어떤 유출이든 적극적으로 조사하고 있으며’ Substack 게시물을 ‘여전히 검토 중’이라고 덧붙였습니다.

업계에 미치는 파장과 신뢰의 위기

이번 Delve를 둘러싼 의혹은 단순히 한 스타트업의 문제를 넘어, 빠르게 성장하는 규정 준수 기술(compliance tech) 산업 전반에 걸쳐 심각한 파장을 불러올 것으로 예상됩니다. 특히 AI와 자동화가 규제 준수 프로세스를 혁신할 것이라는 기대가 큰 상황에서, 이러한 기술의 투명성과 신뢰성에 대한 근본적인 질문을 던지고 있습니다. Delve와 같은 플랫폼의 주된 가치는 복잡하고 시간이 많이 소요되는 규정 준수 작업을 간소화하고 자동화하여 기업의 부담을 줄여주는 것입니다. 그러나 만약 이러한 ‘효율성’이 ‘가짜 준수’를 통해 달성된 것이라면, 이는 기술 혁신이 오히려 법적, 윤리적 위험을 증가시키는 역설적인 상황으로 이어질 수 있습니다.

이번 사태는 Delve의 수백 명의 고객사들에게 직접적이고 심각한 영향을 미칠 수 있습니다. 만약 DeepDelver의 주장이 사실로 드러난다면, 이들 고객사는 자신들이 규정 준수 상태라고 믿었던 것이 사실이 아니었음을 깨닫게 될 것입니다. 이는 HIPAA에 따른 형사 책임이나 GDPR에 따른 막대한 벌금과 같은 심각한 법적 및 재정적 위험에 노출될 수 있음을 의미합니다. 특히 개인 정보 보호 규정은 위반 시 기업의 명성은 물론, 막대한 재정적 손실로 이어질 수 있어, 고객사들은 현재 자신들의 규정 준수 상태를 긴급히 재평가해야 하는 상황에 놓였습니다. 이번 사건은 기업들이 규정 준수 솔루션을 선택할 때, 단순히 ‘빠르고 효율적’이라는 홍보 문구 뒤에 숨겨진 검증된 신뢰성과 투명성을 더욱 면밀히 scrutinize(검토)해야 한다는 교훈을 주고 있습니다.

미래 전망과 과제: 규정 준수 기술의 방향은?

Delve를 둘러싼 논란은 이제 시작에 불과하며, 앞으로 전개될 조사와 법적 공방에 따라 그 결과는 Delve의 존폐를 넘어 규정 준수 기술 산업의 미래 방향에도 중대한 영향을 미칠 것입니다. Delve 측은 Substack 게시물이 ‘오해의 소지가 있다’고 주장하고 있지만, DeepDelver가 제시한 구체적인 증거들과 추가로 제기된 보안 취약점 문제는 쉽게 간과할 수 없는 사안입니다. Delve는 자신들의 주장을 뒷받침할 명확하고 투명한 증거를 제시해야 할 막중한 과제에 직면해 있으며, 특히 독립적인 감사 과정의 무결성과 보안 시스템의 견고함을 입증하는 것이 핵심이 될 것입니다.

이번 사건은 규정 준수 분야에서 자동화 기술의 역할과 책임에 대한 심도 깊은 논의를 촉발할 것입니다. 기술이 복잡한 규제 환경을 단순화하고 효율성을 높이는 데 기여할 수 있지만, 궁극적으로 규정 준수의 책임은 기업에게 있으며, 이를 돕는 기술 솔루션 또한 최고 수준의 투명성과 윤리 의식을 갖춰야 한다는 점을 명확히 보여주고 있습니다. 앞으로 규정 준수 기술 기업들은 단순히 ‘빠른 솔루션’을 제공하는 것을 넘어, 외부 감사 기관과의 독립성, 데이터의 무결성, 그리고 플랫폼 자체의 보안성을 어떻게 보장하고 입증할 것인지에 대한 더 강력한 기준을 마련해야 할 것입니다. 이러한 노력은 규정 준수 기술 산업 전반의 신뢰를 재건하고, 기업들이 안심하고 기술의 혜택을 누릴 수 있는 기반을 다지는 데 필수적입니다.

---

출처

• 원문 제목: Delve accused of misleading customers with ‘fake compliance’
• 출처: AI News & Artificial Intelligence | TechCrunch
• 원문 기사 보러가기