3억 달러짜리 컴플라이언스 스타트업이 Apache 2.0 하나 안 지켰다 — Delve, YC에서 쫓겨나기까지

Delve 사건

494개 SOC 2 보고서 중 493개가 99.8% 동일한 내용이라면, 그건 자동화가 아니라 복붙이잖아요. SOC 2, HIPAA, GDPR 같은 보안 인증을 "AI로 며칠 만에 끝내드립니다"라고 약속하던 스타트업 Delve 이야기예요. 밸류에이션 3억 달러. 시리즈 A 3,200만 달러. Forbes 30 Under 30. YC 대표 게리 탄이 직접 "톱 스타트업"이라 불렀던 회사.

근데 이 회사가 오픈소스 라이선스라는 가장 기초적인 컴플라이언스조차 지키지 않았다는 의혹이 터졌어요. 2026년 4월 4일, YC는 Delve에게 커뮤니티를 떠나달라고 요청합니다. YC 역사에서 포트폴리오 기업을 퇴출시킨 사례는 극히 드물거든요.

규칙 준수를 대행해주겠다는 회사가, 자기한테 적용되는 가장 기본적인 규칙조차 안 지킨 거예요. 아이러니를 넘어서 구조적 모순.

2023년 MIT 기숙사에서 2026년 YC 퇴출까지 — 17개월 시계열

Delve의 궤적을 시간순으로 정리하면, 실리콘밸리에서 '성장 내러티브'가 어떻게 구축되고 어떻게 무너지는지가 뚜렷하게 드러나요.

2023년, MIT 재학 중이던 카룬 카우식과 셀린 코칼라르가 의료 AI 스크라이브로 시작했다가, 직접 HIPAA 인증의 고통을 겪은 뒤 컴플라이언스 자동화로 피벗해요. 2024년 초 YC Winter 2024 배치 선정. AI 에이전트가 증거 수집, 보고서 작성, 갭 모니터링까지 자동 처리한다는 피치였죠. 2025년 1월 General Catalyst 등에서 330만 달러 시드. 7월엔 Insight Partners 주도로 3,200만 달러 시리즈 A, 밸류에이션 3억 달러. 9월에 YC CEO 게리 탄이 카우식의 MIT 강연 포스트를 리트윗하며 "Delve는 톱 YC 스타트업"이라 언급 — 그 포스팅 조회수 17만 5천.

여기까진 완벽한 실리콘밸리 성공 서사예요.

근데 2025년 4~5월에 핵심 사건이 벌어져요. Delve는 같은 YC 동문사인 Sim.ai의 고객이 돼요 — SOC 2, HIPAA 인증을 위해 1만 5천 달러를 지불하죠. 동시에 내부에서는 Sim.ai의 오픈소스 제품 SimStudio를 자사 제품 "Pathways"로 포팅하는 작업이 진행되고 있었어요. 내부 Notion에 "Sim Studio Port Plan"이라는 이름으로 복사할 폴더 목록(Blocks, Components, Executor, Tools, 데이터베이스 스키마)이 구체적으로 나열되어 있었다는 게 내부 제보자의 주장이에요.

돈 내고 고객으로 들어간 회사의 제품을 몰래 가져간 거예요. (말이 가져간 거지... 훔친 거죠.)

2025년 12월엔 수백 개 고객사의 SOC 2 감사 보고서 초안이 담긴 구글 스프레드시트가 공개 접근 가능한 상태로 유출돼요. 카우식은 "외부 당사자가 데이터베이스에 접근한 사실은 없다"고 고객들에게 이메일을 보냅니다. 같은 달 Forbes 30 Under 30 AI 부문 선정. 2026년 3월 18일, 익명의 서브스택 'DeepDelver'가 Part I 발표 — 494개 SOC 2 보고서 중 493개가 99.8% 동일하다는 폭로. 인도 기반 인증 기관을 통한 고무도장식 감사, AI가 아닌 사전 작성 템플릿과 수작업 기반 프로세스라는 주장이었어요.

3월 20일 Delve가 반박 블로그를 올렸는데, patio11(HN의 유명 논객)은 이걸 "핵심 의혹을 인정하면서도 모든 책임을 부인하는 교과서적 비부인 부인(non-denial denial)"이라 평가해요. "우리는 보고서를 발행하지 않는다" — 발행 주체가 아닐 뿐 내용을 생성했다는 핵심은 부인 안 한 거죠.

3월 23일 Insight Partners가 Delve 투자 관련 블로그 포스트를 웹사이트에서 삭제. 3월 30일 DeepDelver Part II에서 SimStudio 포크 의혹 추가. Sim.ai CEO 에미르 카라베그가 TechCrunch에 라이선스 계약이 전혀 없었음을 확인. 4월 1일 TechCrunch 보도, X에서 트렌딩. 4월 4일 YC 퇴출.

게리 탄의 내부 Bookface 메시지가 유출됐어요. "YC는 커뮤니티지, 단순한 액셀러레이터가 아닙니다. 우리 커뮤니티의 창업자들은 서로를 신뢰해야 하고, 우리도 그들을 신뢰해야 합니다. 그 신뢰가 무너지면, 할 수 있는 일은 하나뿐입니다."

Apache 2.0은 "아무렇게나 써도 되는 라이선스"가 아니다

이 사건에서 가장 많은 오해가 발생하는 지점이 오픈소스 라이선스 문제예요. DeepDelver는 이걸 "지적재산 절도(IP theft)"라고 불렀는데, 법적으로는 좀 더 세밀한 구분이 필요하거든요.

SimStudio는 Apache 2.0 라이선스 오픈소스예요. 허용적 라이선스라서 상업적 사용, 수정, 재배포 전부 가능. 심지어 수정된 코드를 다른 라이선스로 재배포하는 것도 허용돼요. 포크해서 돈 버는 것 자체는 합법이에요.

다만 네 가지 조건이 있어요. 원본 저작권 고지 유지, 라이선스 텍스트 포함, NOTICE 파일 어트리뷰션 포함, 수정 파일에 변경 사실 명시. "가져가서 돈 벌어도 되지만, 출처는 밝혀라"가 핵심이죠.

Delve가 한 것으로 의심되는 건 이 네 가지를 전부 무시한 채 "처음부터 직접 만들었다(built from the ground up)"고 잠재 고객에게 설명한 거예요. 라이선스 위반이면서 동시에 고객 기만.

여기서 "합법적 포크"와 "윤리적 포크" 사이의 간극을 봐야 해요. 오픈소스 세계에서 포크는 일상적인 일이에요. 근데 대부분의 포크는 원작자 크레딧을 명시하고, 커뮤니티에 기여를 돌려주는 관행 위에서 작동하거든요.

Delve 경우는 달랐어요. 도덕적 파산이 겹겹이 쌓여 있어요.

유지보수는 방글라데시 외주에 맡겼어요. "직접 만들었다"는 주장과 모순되죠. 단순한 라이선스 위반이 아니라 신인의무의 역전이에요. 컴플라이언스 서비스 제공자가 고객의 보안 정보에 접근하면서 동시에 그 고객의 제품을 가져간 건, 신뢰 관계의 근본적 위반이에요.

위신 플라이휠이 실사를 대체하면 벌어지는 일

포브스 30 Under 30 범죄 추적 프로젝트

이 사건이 단순한 스타트업 비리를 넘어서는 이유가 있어요. YC라는 생태계의 신뢰 구조 자체가 시험대에 올랐거든요.

YC 동문 네트워크는 명함 교환 모임이 아니에요. "YC 동문이니까 믿고 쓴다"는 묵시적 신뢰가 실제 거래로 이어지는 구조예요. Sim.ai가 Delve를 선택한 것도, Lovable, Brex, Gusto 같은 회사들이 Delve를 선택한 것도 이 신뢰 네트워크 안에서 일어난 일이에요.

문제는 이 신뢰가 실사를 대체해버렸을 가능성이에요. 게리 탄이 2025년 9월 "톱 스타트업"이라 했을 때, 그건 YC 커뮤니티 전체에 대한 암묵적 보증과 같았거든요. 그 보증 믿고 1,700개 이상의 고객사가 HIPAA — 위반 시 형사 책임까지 갈 수 있는 영역 — 를 Delve에 맡겼어요.

HN 댓글 하나가 날카롭더라고요. "YC가 퇴출한 건 라이선스를 위반해서가 아니에요. 다른 YC 회사들을 배신했기 때문이에요." 만약 Delve가 YC 외부 기업의 코드를 포크했다면 이 정도 반응이 나왔을까요? 그 답이 "아마 아니다"일 가능성이 높다는 게 불편한 지점이에요.

YC 배치 → 시드 라운드 → CEO 공개 보증 → 시리즈 A → Forbes 30 Under 30 → 샌프란시스코와 뉴욕 전역의 옥외광고. 이 위신 플라이휠이 한 번 돌기 시작하면, "정말 이게 작동하는 건가?"라는 질문을 던지기가 구조적으로 어려워져요. 의심을 제기하는 것 자체가 네트워크에서 이탈하는 비용을 수반하니까요.

"속도를 파는 구조"가 진짜 무서운 거다

솔직히 이 사건에서 가장 무서운 부분이 오픈소스 라이선스 위반이 아니라고 봐요.

Delve의 비즈니스 모델 자체가 "속도를 파는 구조"였어요. "몇 달 걸리는 걸 며칠 만에." 고객 입장에서 거부하기 어려운 가치 제안이죠. 근데 그 속도가 어디서 나오는지를 따져보면, 결국 검증 과정을 생략하거나 자동화하는 데서 나올 수밖에 없어요. 컴플라이언스는 본질적으로 독립적 검증에 가치가 있는 영역인데, 그 검증을 "자동화"한다는 건 구조적으로 모순이에요.

오픈소스 포크 건도 같은 맥락이에요. "빠르게 제품 라인업을 확장해야 한다"는 압박 속에서 남의 코드를 가져다 쓰는 건 합법적이지만, 출처를 밝히고 라이선스를 지키는 "느린 과정"을 생략한 거예요. 속도에 대한 집착이 윤리적 경계를 침식한 패턴.

그리고 하나 더 주목할 게 있어요. 이 모든 의혹이 규제 기관이 아닌 익명의 서브스택 작성자 한 명에 의해 폭로됐다는 사실. SEC 조사도, AICPA 제재도, HIPAA 집행도 아니었어요. 고객이었던 개인이 의심을 품고, 데이터를 모으고, 글을 써서 공개한 거예요. 컴플라이언스 산업의 자기 감시 체계가 얼마나 취약한지 보여주는 방증이에요.

오픈소스를 상업적으로 쓰는 건 합법이지만, 어트리뷰션을 지우고 "직접 만들었다"고 주장하는 순간 라이선스 위반이자 신뢰의 문제가 돼요. 네트워크 기반 신뢰는 강력한 자산이지만, 실사를 대체해서는 안 돼요. "YC 동문이니까", "포트폴리오니까"라는 이유만으로 보안 인증처럼 법적 책임이 따르는 영역을 맡기는 건 위험하거든요.

Delve의 1,700개 고객사 중 상당수는 환자 데이터를 매일 다루는 기업이에요. 이들이 보유한 SOC 2 인증의 실효성에 대한 질문은 이제 시작일 뿐이에요.

Delve가 특별히 악의적이었다기보다는, 속도와 성장이라는 인센티브 구조 안에서 지름길을 선택하는 게 너무 쉬웠던 거예요. 그리고 그 지름길을 막아야 할 안전장치 — 독립 감사, 투자자의 실사, 커뮤니티의 상호 검증 — 가 전부 작동하지 않았어요. 결국 질문은 이거예요. 이건 "나쁜 창업자 한 팀"의 일탈인지, 아니면 "빠르게 성장하라"는 압력 아래에서 윤리적 경계가 체계적으로 침식되는 패턴인지.