컴플라이언스 스타트업 Delve, 또 다른 고객사 보안 사고 확인… 컨텍스트AI 인증사로 Vercel 침해 연쇄, YC도 결별

컴플라이언스 스타트업 Delve(델브)를 둘러싼 보안 인증 신뢰성 위기가 또 한 차례 확장됐다. TechCrunch는 Delve가 AI 에이전트 학습 스타트업 Context AI(컨텍스트AI)의 보안 인증을 수행한 회사임을 확인했다고 보도했다. Context AI는 지난주 자사 보안 사고가 인기 앱·웹사이트 호스팅 업체 Vercel(버셀)의 데이터 침해로 이어졌다고 공개한 바 있다.

다만 자체 보안 사고를 겪은 Lovable(러버블)은 이미 Delve 고객사가 아니다. Lovable은 2025년 후반 Delve와 결별했고, 이미 한 가지 보안 인증을 재수행했으며 나머지도 재인증 중이라고 밝혔다.

지난달 한 익명 내부고발자는 Delve가 고객 데이터를 위조하고 인증·감사 과정에서 '도장만 찍어주는(rubber-stamping)' 감사인을 활용했다고 주장했다. Delve는 이 같은 의혹을 부인했다. 이어 Delve의 인증 고객 가운데 하나인 LiteLLM이 해커 공격을 받아 오픈소스 코드에 멀웨어가 심어졌고, LiteLLM은 사고 직후 Delve와 결별하고 재인증을 받겠다고 TechCrunch에 알렸다.

Delve는 또한 한 오픈소스 도구를 라이선스 표기 없이 자사 작업물처럼 활용했다는 의혹도 제기됐다. 이로 인해 Delve가 졸업한 Y Combinator(YC)는 Delve와의 관계를 끊었다.

지난 주말 Vercel은 자사 내부 시스템이 해커에게 침해됐고 일부 고객 데이터가 접근됐다고 발표했다. 회사 설명에 따르면 한 직원이 Context AI가 만든 앱을 다운로드해 구글이 호스팅하는 Vercel 사내 계정에 연결했고, 해커는 이 직원의 구글 계정 권한을 악용해 Vercel 내부 시스템 일부에 침투했다.

엔지니어링 뉴스레터 The Pragmatic Engineer의 저자 게르겔리 오로스(Gergely Orosz)는 X에 올린 글에서 Context AI의 보안 인증을 처리한 회사가 Delve였다고 밝혔다. Context AI는 이후 TechCrunch에 자신이 과거 Delve 고객이었다고 확인했고, 현재는 Delve를 떠나 재인증 중이라고 전했다.

Context AI 대변인은 "맞다, Context는 과거 Delve 고객이었다"며 "3월 Delve 관련 보도 이후 컴플라이언스 프로그램을 Vanta(반타)로 옮겼고, 독립 감사 기관 Insight Assurance를 새 검사 진행에 투입했다. 재검사의 일환으로 공개 자료를 갱신 중이며, 새 인증서가 나오는 대로 공유하겠다"고 TechCrunch에 말했다.

보안 인증 자체가 보안 사고를 막아주지는 않는다. 인증의 본래 목적은 회사가 공격을 차단하고 고객 데이터 유출 가능성을 낮출 정책·프로세스를 갖췄음을 검증하는 데 있다. 실제로 Lovable은 월요일 자신이 부주의로 고객 채팅 데이터 일부를 공개적으로 노출했다고 인정했다. 회사는 수개월 전 들어온 취약성 신고를 무시했다는 점도 시인했고, 처음에 데이터 유출을 부인한 것을 사과했지만 "해킹이 아니라 설정 오류"라고 주장했다.

Delve를 둘러싼 의혹은 더 늘었다. 익명 내부고발자 'DeepDelver'는 새 글에서 Delve가 고객들에게 환불을 거부하면서도 4월 15~19일 사이 20명이 넘는 팀원을 데리고 하와이 오프사이트 미팅을 다녀왔다고 주장했다. 내부고발자는 하와이 출장 정황을 뒷받침하는 영수증을 TechCrunch에 제공했지만, 다른 주장은 TechCrunch가 확인하지 못했다고 전했다. Delve는 코멘트 요청에 응답하지 않았으며, 미디어 관계용 이메일은 반송됐다.