핵심 요약
컴플라이언스 자동화 스타트업 Delve가 가짜 증거를 활용해 고객들을 기만했다는 익명의 폭로가 나왔다. 폭로자는 Delve가 조작된 이사회 기록을 생성하고 특정 감사 법인과 결탁해 부실한 보고서를 발행했다고 밝혔다. 이에 대해 Delve는 자사가 자동화 도구일 뿐이며 보고서 발행은 독립된 감사인의 책임이라는 입장을 내놓았다. 이번 사건은 AI 기반 규제 준수 솔루션의 투명성과 신뢰성 문제를 수면 위로 끌어올렸다.
배경
HIPAA 및 GDPR 등 주요 보안 규제에 대한 기본 지식, 스타트업 투자 및 감사 프로세스에 대한 이해
대상 독자
스타트업 창업자, 보안 및 컴플라이언스 담당자, 핀테크 및 헬스케어 분야 개발자
의미 / 영향
AI 자동화를 내세운 RegTech 분야의 신뢰성 위기를 보여주며, 자동화와 데이터 조작 사이의 경계가 모호해질 경우 기술 기업들이 심각한 법적 리스크에 직면할 수 있음을 시사한다.
섹션별 상세
익명의 폭로자 'DeepDelver'는 Delve가 가짜 증거를 생성하여 고객들이 실제로는 규정을 준수하지 않음에도 불구하고 100% 준수 상태인 것처럼 속였다는 의혹을 제기했다. 폭로에 따르면 Delve는 실제로 열리지 않은 이사회 회의나 수행되지 않은 프로세스에 대한 조작된 증거를 제공했으며, 고객들은 이 가짜 데이터를 수용하거나 수동으로 모든 작업을 수행하는 것 중 하나를 선택해야 하는 상황에 놓였다.
Delve가 특정 감사 법인인 Accorp 및 Gradient와 결탁하여 '구조적 사기'를 저지르고 있다는 정황이 포착됐다. 폭로자는 이들 법인이 인도에 기반을 둔 사실상의 동일 운영체이며, Delve가 미리 생성한 감사 결론과 보고서에 기계적으로 승인 도장만 찍어주는 역할을 수행함으로써 독립적인 감사 체계를 무력화하고 있다고 비판했다.
Delve 측은 공식 블로그를 통해 이러한 의혹이 오해의 소지가 있으며 부정확하다는 입장을 표명했다. 사측은 자신들이 규제 준수 정보를 수집하여 감사인에게 전달하는 '자동화 플랫폼'일 뿐이며, 최종 보고서와 의견은 Delve가 아닌 독립적인 공인 감사인에 의해 발행된다는 사실을 명시했다.
가짜 증거 생성 의혹에 대해 Delve는 고객들이 규정 요구 사항에 맞춰 프로세스를 문서화할 수 있도록 돕는 '템플릿'을 제공하는 것일 뿐이라고 해명했다. 이러한 초안 템플릿은 '미리 채워진 가짜 증거'와는 성격이 다르며, 업계 내 다른 컴플라이언스 플랫폼들도 유사한 방식을 채택하고 있다는 것이 사측의 입장이다.
실무 Takeaway
- AI 기반 컴플라이언스 자동화 도구를 도입할 때 플랫폼이 생성하는 증거의 진위 여부와 독립적인 감사 절차가 실제로 작동하는지 철저히 검증해야 한다.
- 자동화 플랫폼이 제공하는 템플릿이 실제 기업의 운영 프로세스를 반영하지 않은 채 그대로 제출될 경우 HIPAA나 GDPR 위반에 따른 법적 책임이 고객 기업에 부과될 수 있다.
- 컴플라이언스 솔루션 선정 시 플랫폼과 연계된 감사 법인의 독립성을 확인하여 단순한 인증서 남발 기관인지 판별하는 과정이 필수적이다.
AI 분석 전체 내용 보기
AI 요약 · 북마크 · 개인 피드 설정 — 무료