규제 준수 스타트업 Delve, '가짜 준수' 논란으로 고객 기만 의혹에 휩싸이다!

최근 빠르게 성장하며 혁신적인 기술을 선보이던 스타트업 업계에 충격적인 소식이 전해져 큰 파장을 일으키고 있습니다. 특히 복잡하고 중요한 규제 준수(Compliance) 분야에서 솔루션을 제공하는 스타트업 Delve가 바로 그 중심에 서 있습니다. Y Combinator의 지원을 받고 지난해 3억 달러의 기업 가치로 3,200만 달러 규모의 시리즈 A 투자를 유치하며 촉망받던 이 기업이, 익명의 내부 고발자로부터 고객들에게 “가짜 준수(fake compliance)” 상태를 제공하여 기만했다는 심각한 의혹에 휩싸였습니다. 이는 단순히 서비스 품질 논란을 넘어, 고객들에게 HIPAA에 따른 형사 책임 및 GDPR에 따른 막대한 벌금 가능성까지 제기하는 중대한 사안입니다.

현대 기업 환경에서 데이터 보안 및 개인 정보 보호 규제 준수는 선택이 아닌 필수적인 요소입니다. 수많은 기업들이 복잡한 규제 환경 속에서 규제 준수 솔루션에 의존하고 있으며, Delve와 같은 레그테크(RegTech, Regulatory Technology) 기업들은 이러한 어려움을 해결해 줄 것으로 기대를 모았습니다. 그러나 이번 Delve 의혹은 자동화된 규제 준수 플랫폼에 대한 신뢰성 문제와 함께, 독립적인 감사 과정의 투명성, 그리고 스타트업의 성장을 위한 윤리적 경계에 대한 근본적인 질문을 던지고 있습니다. 업계 전반에 걸쳐 파급 효과가 예상되는 이번 논란은 단순한 스캔들을 넘어, 미래 기술과 윤리적 가치의 균형을 어떻게 잡아야 할지에 대한 중요한 교훈을 제시하고 있습니다.

규제 준수 스타트업 Delve를 둘러싼 충격적인 의혹의 핵심

이번 논란의 불씨는 ‘DeepDelver’라는 익명의 Substack 게시물에서 시작되었습니다. DeepDelver는 자신이 Delve의 (전)고객사 직원이라고 밝히며, Delve가 수백 개의 고객사를 대상으로 개인 정보 보호 및 보안 규정을 준수했다고 “허위로 확신시켰다”고 주장했습니다. DeepDelver와 그의 협력자들은 Delve로부터 받은 “기밀 클라이언트 보고서가 담긴 스프레드시트가 유출되었다”는 이메일을 계기로 의심을 품게 되었고, Delve의 서비스에 대한 “실망스러운 경험”과 “뭔가 미심쩍은 상황”을 공유하던 다른 고객들과 함께 자체적인 조사를 시작했다고 설명했습니다. 이들은 Delve의 보복에 대한 두려움 때문에 익명을 유지하기로 결정했다고 밝혔으며, 그들의 주장은 매우 구체적이고 광범위합니다.

• 허위 증거 생성 및 보고서 조작: DeepDelver는 Delve가 “가짜 증거를 생산하여 가장 빠른 플랫폼이라는 주장을 달성한다”고 고발했습니다. 실제로 일어나지 않은 이사회 회의, 테스트, 프로세스 등에 대한 “조작된 증거”를 고객에게 제공하며, 고객들은 이러한 허위 증거를 채택하거나 사실상 수동으로 작업을 수행해야 하는 선택의 기로에 놓였다고 지적했습니다. 이러한 행위는 고객사가 외부 감사나 규제 기관의 조사를 받을 경우 심각한 위험에 처하게 만들 수 있습니다.

• ‘고무 도장’ 감사 시스템: Delve의 고객들이 거의 예외 없이 Accorp와 Gradient라는 두 감사 법인을 이용하고 있으며, 이 두 법인은 “동일한 운영 체계의 일부”로 주로 인도에서 활동하며 미국에는 명목상의 존재만 가지고 있다고 DeepDelver는 주장했습니다. 이 감사 법인들은 Delve가 생성한 보고서에 대해 독립적인 검토 없이 마치 ‘고무 도장’처럼 승인하는 역할을 한다는 것이 핵심적인 비판입니다. 이는 감사 과정의 독립성과 공정성을 심각하게 훼손하는 행위입니다.

• 규제 준수 구조의 ‘역전’ 및 ‘구조적 사기’: DeepDelver는 Delve가 독립적인 검토가 이루어지기 전에 감사 결론, 테스트 절차, 최종 보고서를 미리 생성함으로써 정상적인 규제 준수 구조를 “역전”시켰다고 설명했습니다. Delve는 스스로 구현자이자 심사자의 역할을 동시에 수행하며, 이는 단순한 기술적인 문제가 아니라 “전체 증명 과정을 무효화하는 구조적 사기”에 해당한다고 강력하게 비판했습니다. 이러한 방식은 규제 준수의 본질을 왜곡하며, 기업의 진정한 보안 상태를 가릴 수 있습니다.

• 미실행 보안 조치와 신뢰 페이지: Delve는 고객들이 구현되지 않은 보안 조치가 포함된 “신뢰 페이지(trust page)“를 호스팅하도록 유도함으로써, 대중을 오도하는 데 일조했다고 DeepDelver는 주장했습니다. 기업이 대외적으로 공표하는 보안 조치가 실제로는 실행되지 않았다면, 이는 고객과 파트너사, 심지어 투자자들에게까지 잘못된 정보를 제공하여 기업의 신뢰도를 심각하게 떨어뜨리는 결과를 초래할 수 있습니다.

• 데이터 유출 및 은폐 의혹: DeepDelver가 이번 조사를 시작하게 된 결정적인 계기는 12월에 발생한 “기밀 클라이언트 보고서가 담긴 스프레드시트 유출” 의혹이었습니다. Delve의 CEO Karun Kaushik은 이후 고객들에게 외부인이 민감한 데이터에 접근하지 않았으며 모두 규정을 준수하고 있다고 안심시켰지만, DeepDelver와 다른 고객들은 이로 인해 오히려 의심을 품게 되었다고 밝혔습니다. 이는 Delve의 내부 보안 관리 능력뿐 아니라 사건 대응의 투명성에도 의문을 제기하는 부분입니다.

Delve의 반박과 DeepDelver의 재반론: 끝나지 않는 진실 공방

DeepDelver의 충격적인 폭로 이후, Delve는 즉각적인 반박에 나섰습니다. 회사는 자사 블로그를 통해 Substack 게시물이 “오해의 소지가 있다”고 일축하며, “다수의 부정확한 주장”을 포함하고 있다고 강조했습니다. Delve의 반박은 자신들의 서비스가 어떻게 운영되는지에 대한 설명을 중심으로 이루어졌으며, DeepDelver의 핵심 주장을 정면으로 부인하려는 시도였습니다. 그러나 DeepDelver 역시 Delve의 해명에 대해 날카로운 재반론을 제기하며 진실 공방은 더욱 심화되고 있습니다.

• “자동화 플랫폼”으로서의 역할 강조: Delve는 자신들이 규제 준수 보고서를 “전혀 발행하지 않는다”고 주장하며, 자신들의 역할은 규제 준수와 관련된 정보를 수집하고 감사자에게 해당 정보에 대한 접근 권한을 제공하는 “자동화 플랫폼”이라고 설명했습니다. 최종 보고서와 의견은 “독립적인, 공인된 감사자”가 전적으로 발행하는 것이며 Delve는 직접적인 책임이 없다고 선을 그었습니다. 이 주장은 자신들이 직접 규제 준수 상태를 ‘인증’하는 주체가 아님을 강조하여 책임 범위를 축소하려는 의도로 해석됩니다.

• 감사자 선택의 자율성 주장: Delve는 고객들이 “원하는 감사자와 협력하거나, Delve의 독립적이고 공인된 제3자 감사 법인 네트워크에서 감사자를 선택할 수 있다”고 반박했습니다. 또한, Delve가 추천하는 감사 법인들은 “다른 규제 준수 플랫폼에서도 널리 사용되는 established firms”라고 주장하며, DeepDelver가 제기한 ‘고무 도장’ 감사 시스템 및 특정 감사 법인과의 유착 의혹을 부인하려는 모습을 보였습니다. 고객에게 감사자 선택의 폭이 넓다는 점을 강조하여 공정성을 어필하려는 것입니다.

• “템플릿”과 “사전 작성된 증거”의 차이: DeepDelver가 제기한 “가짜 증거” 제공 혐의에 대해, Delve는 단순히 “팀이 규제 준수 요구 사항에 따라 프로세스를 문서화하는 데 도움이 되는 템플릿을 제공”하는 것이라고 해명했습니다. 이는 다른 규제 준수 플랫폼들도 마찬가지로 하는 일이며, “초안 템플릿은 ‘사전 작성된 증거’와는 다르다”고 강조했습니다. Delve는 자신들이 제공하는 것은 가이드라인일 뿐, 이를 실제 증거로 채택하는 것은 고객의 책임이라는 뉘앙스를 풍겼습니다.

• DeepDelver의 반박에 대한 DeepDelver의 재반박: Delve의 해명에 대해 DeepDelver는 “게으름과 서투름, 뻔뻔함에 어안이 벙벙하다”며 강하게 비판했습니다. 그들은 Delve가 “사전 작성된 증거”를 부인하고 이를 “템플릿”이라고 부름으로써 책임을 고객에게 전가하려 한다고 지적했습니다. 또한, Delve가 “보고서를 발행한다”는 정의를 좁게 해석하여 최종 승인의 책임만 피하려 한다고 비난했습니다. DeepDelver는 특히 Delve가 인도에서의 운영, AI 기술의 부재(단순한 자동화에 불과), 그리고 미실행 보안 조치 관련 “신뢰 페이지”와 같은 “매우 심각한 주장”들에 대해서는 전혀 해명하지 않았다는 점을 꼬집었습니다. 이들은 “파트 2가 곧 나올 것”이라고 예고하며 논란의 불씨를 더욱 키우고 있습니다.

산업에 미치는 파장과 잠재적 영향

이번 Delve를 둘러싼 논란은 레그테크(RegTech) 산업 전반에 걸쳐 심대한 파장을 일으킬 것으로 예상됩니다. Delve는 Y Combinator의 지원을 받고 3억 달러의 높은 기업 가치를 인정받았던 촉망받는 스타트업이었기에, 이번 의혹은 단순히 한 기업의 문제를 넘어 자동화된 규제 준수 솔루션과 그 뒤를 받치는 제3자 감사 생태계 전반에 대한 신뢰를 크게 흔들 수 있습니다. 규제 기관들은 이러한 플랫폼의 운영 방식과 감사 프로세스에 대해 더욱 면밀한 조사를 요구할 가능성이 높으며, 이는 다른 레그테크 기업들에게도 더 엄격한 기준과 투명성을 요구하는 계기가 될 수 있습니다. 잠재적인 고객사들은 규제 준수 파트너를 선정할 때 훨씬 더 신중한 실사(due diligence)를 진행하게 될 것입니다.

또한, 이번 사태는 Delve의 서비스에 의존했던 수백 개의 고객사들에게 심각한 법적 및 재정적 위험을 초래할 수 있습니다. 만약 Delve가 제공한 규제 준수 상태가 허위로 밝혀진다면, 이들 기업은 HIPAA에 따른 형사 책임 및 GDPR에 따른 막대한 벌금은 물론, 고객 데이터 유출 시 발생할 수 있는 소송과 브랜드 이미지 손상 등 회복하기 어려운 타격을 입을 수 있습니다. Delve가 비판을 무마하기 위해 “도넛 상자”를 보냈다는 DeepDelver의 주장은 기업의 윤리 의식과 위기 관리 능력에 대한 의문을 제기하며, 이와 같은 안일한 대응 방식은 결국 더 큰 불신과 역효과를 초래할 수 있음을 시사합니다.

미래 전망과 남겨진 과제

Delve의 미래는 현재로서는 불투명해 보입니다. 이번 의혹은 기업의 명성과 투자자 신뢰에 치명적인 손상을 입혔을 뿐 아니라, 향후 법적 분쟁으로 이어질 가능성도 배제할 수 없습니다. DeepDelver가 예고한 “파트 2”의 내용은 Delve에 또 다른 결정적인 타격이 될 수 있으며, 이는 기업의 생존 자체를 위협할 수도 있습니다. 테크크런치 기사에 따르면, Delve의 미디어 연락처 이메일이 반송되었음에도 불구하고 ‘Delve 데모’ 초청 메일이 온 것은 내부적인 혼란이나 위기 속에서도 필사적인 홍보 전략을 펼치고 있음을 짐작게 합니다. 여기에 X 사용자 James Zhou와 Dvuln 창업자 Jamieson O’Reilly가 Delve의 “심각한 보안 취약점”을 제기하며 민감한 정보에 접근할 수 있었다는 추가적인 주장은 Delve의 위기를 더욱 심화시키고 있습니다.

이번 Delve 사태는 단순한 스타트업 스캔들을 넘어, 기술 혁신과 기업 윤리 사이의 균형점을 고민하게 하는 중요한 사례입니다. 자동화된 솔루션이 규제 준수 프로세스를 효율적으로 만들 수 있지만, 그것이 독립적인 감사와 인간적인 감독의 역할을 완전히 대체할 수는 없다는 교훈을 남깁니다. 기업들은 빠른 성장을 추구하는 과정에서도 투명성, 정직성, 그리고 고객에 대한 책임감을 최우선 가치로 삼아야 할 것입니다. 규제 당국과 투자자들 역시 스타트업의 혁신 잠재력을 평가함과 동시에, 그들의 비즈니스 모델이 윤리적이고 지속 가능한 기반 위에 서 있는지를 더욱 엄격하게 검증해야 할 것입니다. 이러한 노력들이 모여야만 건강하고 신뢰할 수 있는 레그테크 산업의 미래를 만들어갈 수 있을 것입니다.

---

출처

• 원문 제목: Delve accused of misleading customers with ‘fake compliance’
• 출처: AI News & Artificial Intelligence | TechCrunch
• 원문 기사 보러가기