Delve, SOC 2 인증서 위조 의혹: AI 자동화의 허와 실

Delve는 감사 결론(Auditor Conclusions)을 미리 작성하고, 고객이 시스템 설명을 제공하기 전에 보고서를 생성하는 방식으로 운영되었다. 이는 AICPA 독립성 규정(AICPA Independence Requirements)을 위반하는 행위로, 감사가 아닌 조작된 결과물을 제공하는 것과 같다. 특히, Delve는 사전 작성된 테스트 절차(Test Procedures)와 결론(Conclusions)을 사용하여 감사 과정의 신뢰성을 훼손했다.

Delve는 AI 기반 자동화를 강조했지만, 실제로는 사전 작성된 템플릿(Pre-populated Templates), 수동 양식, 그리고 조작된 증거에 의존했다. 고객들은 AI Co-pilot의 제한적인 도움만을 받았으며, 대부분의 작업은 수동으로 진행되었다. 이는 Delve가 홍보한 AI-native 플랫폼과는 거리가 멀며, 실제로는 수동 작업(Manual Work)을 통해 컴플라이언스를 달성하는 방식이었다.

Delve는 감사 보고서의 독립성을 훼손하기 위해, 감사 결론(Auditor Conclusions)을 미리 작성하고, 고객의 시스템 설명 전에 보고서를 생성했다. 또한, Delve는 AICPA/ISO 규정(AICPA/ISO Rules)을 위반하며, 감사인 역할을 수행했다. Delve가 사용하는 감사 기관들은 고무 도장(Rubber Stamp) 역할을 수행하며, 독립적인 검증 없이 보고서에 서명했다.

Delve의 부실한 컴플라이언스 프로세스는 고객들이 GDPR 및 HIPAA 규정(GDPR and HIPAA Requirements)을 위반하게 만들 수 있다. 이는 고객들이 형사 책임(Criminal Liability) 및 엄청난 벌금(Hefty Fines)에 노출될 위험을 증가시킨다. Delve의 고객들은 규제, 계약, 그리고 평판 위험에 직면하게 되며, 이는 기업의 존립을 위협할 수 있다.