Delve – 가짜 컴플라이언스 서비스

• Delve 플랫폼이 실제 보안 통제 없이 ‘준수한 것처럼 보이게 만드는 시스템’ 으로 운영되고 있음이 폭로됨
• 내부 조사와 유출된 스프레드시트 분석 결과, 감사 보고서·테스트·결론이 Delve에 의해 자동 생성되고 인도 기반 인증 기관들이 이를 형식적으로 서명한 것으로 드러남
• 고객사는 가짜 증거·허위 회의록·자동 채워진 정책 문서를 채택해 SOC 2·ISO 27001·HIPAA·GDPR 인증을 받은 것처럼 표시됨
• Delve는 AI 기반 자동화를 내세우지만 실제로는 수동 입력과 스크린샷 업로드 중심의 폼 시스템이며, 대부분의 ‘통합’ 기능은 작동하지 않음
• 이로 인해 수백 개 기업이 허위 보안 상태를 외부에 공표하고 있으며, HIPAA·GDPR 위반 및 법적 책임 위험에 노출됨

Delve의 구조적 문제와 핵심 폭로

• Delve는 SOC 2, ISO 27001, HIPAA, GDPR 등 컴플라이언스 자동화 플랫폼으로 홍보되었으나, 실제로는 감사 독립성 원칙을 위반하고 자체적으로 감사 결론을 작성함
  • 감사 보고서 초안에는 이미 Delve가 작성한 결론과 테스트 절차가 포함되어 있었으며, 고객은 이름·서명·다이어그램만 채워 넣음
  • 모든 보고서가 동일한 문장 구조와 오타를 공유하며, 575개 중 99% 이상이 동일 텍스트를 포함함
• 유출된 구글 스프레드시트에는 수백 개 고객의 감사 보고서 링크가 포함되어 있었고, 개인 서명·시스템 다이어그램 등 민감 정보가 노출됨
  • Delve CEO는 이를 “AI가 생성한 허위 이메일”이라 주장했으나, 실제 문서가 공개 아카이브에서 확인됨

감사 독립성 위반과 허위 감사 체계

• Delve는 감사인 역할을 직접 수행하며 AICPA 규정을 위반
  • 감사 결론이 사전 작성되어 독립적 검증이 불가능한 구조
  • 인도 기반 인증 기관 Accorp, Gradient, BQC, Glocert 등이 미국 법인 껍데기를 통해 보고서에 서명
  • 일부 보고서에는 잘못된 감사사 라이선스 번호가 포함되어 동일 템플릿 복제 정황이 확인됨
• 감사 담당자로 표시된 Jayshree Dutta는 미국 CPA가 아니며, 인도 기업 CyberTryZub 및 BQC 소속으로 확인됨

제품과 프로세스의 허위성

• Delve의 ‘AI 자동화’는 실제 AI 기능이 거의 없는 수동 폼 기반 시스템
  • 대부분의 ‘통합(integration)’은 인증 절차 없이 스크린샷 업로드만 요구
  • 정책·리스크 평가·보안 시뮬레이션 등은 기본값이 채워진 템플릿으로 구성되어 클릭만으로 완료 가능
• Pathways 모듈은 Delve가 자체 개발했다고 주장했으나, 오픈소스 SimStudio를 무단 사용한 것으로 확인됨
• 고객은 가짜 회의록·보안 테스트 결과·정책 문서를 채택해야 하며, 이를 거부하면 대부분의 작업을 수동으로 수행해야 함

허위 보고서와 신뢰 페이지 조작

• Delve의 Trust Page는 실제 구현되지 않은 보안 통제를 ‘완료’로 표시
  • 322개 SOC 2 고객 중 321개가 동일한 51개 통제 항목을 사용
  • MDM, 침입 탐지, 백업, 데이터 삭제 등 존재하지 않는 보안 조치가 자동 표시됨
• SOC 2 Type II 보고서에는 “보안·가용성·기밀성·프라이버시” 등 모든 기준을 충족했다고 명시하지만, 실제 테스트는 보안 항목 하나만 수행
  • 모든 보고서가 “예외 없음(No exceptions noted)” 문구로 동일하게 끝남

규제 및 법적 위험

• Delve의 허위 프로세스로 인해 고객사는 GDPR·HIPAA 위반 상태에 놓임
  • HIPAA 위반 시 형사 처벌, GDPR 위반 시 전 세계 매출의 최대 4% 벌금 가능
  • 의료·국방 관련 데이터를 처리하는 기업도 포함되어 있어 국가 안보 수준의 위험 초래
• Delve 고객은 자신도 모르게 허위 인증 보고서를 외부에 제출했으며, 계약상·평판상 책임을 질 수 있음

결론 및 권고

• Delve는 ‘가짜 컴플라이언스 자동화’ 구조를 산업화한 사례로, 고객을 법적 위험에 노출시킴
• 기존 고객은 Delve와의 모든 커뮤니케이션을 서면으로 기록하고, 감사 생성·감사인 독립성·데이터 유출 범위를 명확히 질의해야 함
• Delve가 주장하는 “AI 기반 신뢰 프로세스”는 형식적 문서 생성 시스템에 불과하며, 실질적 보안 검증 기능이 없음
• 이 사건은 컴플라이언스 자동화 시장의 신뢰 붕괴를 보여주며, 독립 감사와 실질적 보안 통제의 중요성을 다시 부각시킴