속고 속이는 활극의 창업판
지난 3월 19일, 딥델버(DeepDelver)라는 익명의 서브스택(Substack) 계정이 컴플라이언스 자동화 스타트업 델브(Delve)에 대한 내부 고발 리포트를 공개했습니다. 웬만한 공매도 리포트 저리 가라 할 수준의 상세함입니다. 유출된 구글 스프레드시트, 수백 건의 감사 보고서 초안 분석, 인증기관 네트워크 추적까지. 분명 내부자의 손을 거친 조사입니다.
델브는 2024년 와이콤비네이터 배치를 거친 직후 제네럴카탈리스트와 소마캐피탈의 투자를 받았고, 작년 7월에는 인사이트 파트너스가 단독으로 $32M 시리즈 A 라운드를 리드하며 $300M 기업가치를 찍은 회사입니다. 지난 2년간 와이콤비네이터 출신 기업 중 가장 빠르게 성장했다는 평가를 받았고, 포브스 30 Under 30에도 이름을 올렸습니다. CEO 카런 카우시크(Karun Kaushik)는 시리즈 A 발표 당시 수익성을 달성했고 분기 매출이 두 배로 뛰었다며, 500개 이상의 고성장 기업이 자사 플랫폼을 사용한다고 밝혔습니다.
그런데 공개된 리포트의 클라이언트 리스트에서 눈에 띄는 이름이 있습니다. 바로 클루얼리(Cluely)입니다. 사기 치는 바이럴로 유명해진 클루얼리가 컴플라이언스 사기를 당한 모습. 현재 MIT 자퇴, 컬럼비아 자퇴 20대 초반 창업자들이 만들어가는 실리콘밸리의 자화상입니다.
사건은 지금도 확산 중입니다. 테크크런치가 3월 21일 보도한 이후, 해커뉴스에서 500포인트 이상의 토론이 벌어졌고, 보안 연구자들이 델브 시스템 자체의 보안 취약점까지 추가로 공개하면서 사태는 단순한 내부 고발을 넘어선 국면에 진입했습니다. 딥델버는 2편을 예고한 상태이며, 테크크런치에 보낸 이메일에서 자신들의 익명 유지는 보복에 대한 두려움 때문이라고 밝혔습니다.
무슨 일인가
컴플라이언스 자동화가 무엇일까요? SOC 2, ISO 27001, HIPAA, GDPR 등등. 미국의 B2B SaaS 기업이 엔터프라이즈 고객을 상대하려면 반드시 통과해야 하는 보안·규제 인증들입니다. 비용도 상당합니다. 전통적인 방식으로 SOC 2 인증을 받으려면 연간 $15,000에서 $50,000, 기간은 6개월에서 1년이 걸립니다. 스크린샷을 찍고, 정책 문서를 작성하고, 증적을 수집하고, 감사인과 수차례 왕복하는 과정을 거쳐야 합니다.