메뉴
BL
TechCrunch AI 37일 전

논란의 컴플라이언스 스타트업 델브 고객사 대규모 보안사고

IMP
8/10
핵심 요약

데이터 조작 및 무자격 심사 등의 의혹으로 연쇄적인 보안 사고에 휘말리고 있는 컴플라이언스 스타트업 Delve(델브)의 또 다른 고객사인 Context AI에서 대규모 해킹 사고가 발생했습니다. 이로 인해 인기 웹 호스팅 기업 Vercel의 내부 시스템이 뚫려 고객 데이터가 유출되었으며, 기존 Delve 고객사들이 잇따라 계약을 해지하고 재인증을 진행하는 등 업계에 큰 파장이 일고 있습니다. 보안 인증의 근본적인 신뢰성과 벤더 검증의 중요성을 보여주는 사례입니다.

번역된 본문

논란에 휘싸인 컴플라이언스 스타트업 Delve(델브)의 이야기는 갈수록 미궁으로 빠져들고 있습니다. TechCrunch가 확인한 바에 따르면, 지난주 대형 앱 및 웹 호스팅업체인 Vercel의 데이터 유출로 이어진 보안 사고를 공개한 AI 에이전트 훈련 스타트업 Context AI의 보안 인증을 담당했던 컴플라이언스 기업이 바로 Delve였습니다. 한편, 자체적인 보안 사고를 겪은 Lovable은 더 이상 Delve의 고객사가 아닙니다.

간략히 정리하자면 다음과 같습니다. 지난달 익명의 내부 고발자가 Delve가 고객 데이터를 조작하고, 컴플라이언스 및 인증 프로세스에서 무자격 심사관들에게 도장만 찍어주는 방식을 사용했다고 의혹을 제기하며 비판의 대상이 되었습니다. Delve는 이러한 혐의를 부인했습니다. 그 직후 해커들은 Delve의 보안 인증 고객사 중 하나인 LiteLLM을 공격하여 오픈소스 코드에 멀웨어를 심었습니다. 이 사건 이후 LiteLLM은 TechCrunch에 Delve와의 계약을 해지하고 재인증을 받을 것이라고 밝혔습니다. Delve는 오픈소스 도구를 가져와 적절한 라이선스 표기 없이 자신들의 작품인 것처럼 속인 혐의도 받았습니다. 이 스타트업의 평판은 크게 추락했고, 결국 Delve가 졸업한 예비 창업자 프로그램인 와이콤비네이터(Y Combinator)조차 이들의 관계를 단절했습니다.

시점을 지난주로 넘겨보면, Vercel은 해커들이 자사 내부 시스템을 침해해 일부 고객 데이터에 접근했다고 밝혔습니다. 회사 측에 따르면 해커는 직원 한 명이 Context AI가 만든 앱을 다운받아 구글(Google)에서 호스팅되는 Vercel의 기업 계정에 연결하는 과정에서 침투했습니다. 해커들은 해당 직원의 구글 계정 접근 권한을 악용해 Vercel 내부 시스템의 일부를 해킹했습니다.

Vercel 공격 사건에 Context AI의 이름이 오르내린 후, 엔지니어링 뉴스레터 'The Pragmatic Engineer'의 저자인 게르게이 오로스(Gergely Orosz)는 X(옛 트위터) 게시물을 통해 Context AI의 보안 인증을 처리한 곳이 바로 Delve라고 지적했습니다. Context AI는 TechCrunch에 실제로 Delve를 이용했음을 인정했지만, 현재는 이 스타트업과 결별했으며 재인증을 받는 과정에 있다고 밝혔습니다.

Context AI의 대변인은 TechCrunch에 "그렇습니다. Context는 과거에 Delve의 고객사였습니다"라고 말했습니다. 대변인은 이어서 "3월 Delve와 관련된 보도가 나온 후, 우리는 컴플라이언스 프로그램을 Vanta로 전환하고 새로운 심사를 수행하기 위해 독립적인 감사 기관인 Insight Assurance와 협력했습니다. 재심사의 일환으로 공개 자료 업데이트를 시작했으며, 완료되는 대로 새로운 인증서를 공유할 것입니다"라고 덧붙였습니다.

보안 인증 자체가 보안 문제를 완벽히 막아주지는 못합니다. 이는 기업이 공격을 방어하고 고객 데이터 유출 가능성을 줄이기 위해 적절한 정책과 프로세스를 갖추고 있음을 보증하기 위한 목적입니다.

이를 입증하듯 Lovable은 Delve의 고객사였으나, 내부 고발자의 주장이 제기된 후 이른바 '바이브 코딩(vibe-coding)' 플랫폼이라고 밝히며 2025년 말에 Delve와 결별했습니다. 이 회사는 이미 하나의 보안 인증을 재취득했으며, 나머지 인증들도 다시 진행 중이라고 말했습니다. 그럼에도 불구하고 Lovable은 월요일에 고객 채팅 데이터에 대한 접근 권한을 우연히 공개 상태로 공유해버렸다는 사실을 인정했습니다. 또한 수개월 전 이 문제를 경고했던 취약점 제보를 당시에 무시했던 것으로 나타났습니다. Lovable은 초기에 데이터 유출 사실을 부정했던 점에 대해 사과했지만, 이번 문제는 해킹이 아닌 설정 오류로 인한 것이라고 해명했습니다.

한편, Delve를 둘러싼 기묘한 소식들도 계속 떠돌고 있습니다. 익명의 내부 고발자인 'DeepDelver'는 Delve가 고객들에게 환불을 거부하면서도, 4월 15일부터 19일 사이에 20명이 넘는 팀원들을 하와이로 워크숍(offsite meeting)을 보냈다고 주장하는 새로운 게시물을 올렸습니다. 이 내부 고발자는 TechCrunch에 하와이 출장 의혹을 뒷받침하는 상당히 설득력 있는 증거를 공유했지만, TechCrunch는 다른 주장들은 확인하지 못했습니다. Delve는 코멘트 및 확인 요청에 응답하지 않았으며, 이들의 홍보 담당 이메일 주소로 보낸 메일은 반송 처리되었습니다.

주제: AI, Context AI, Delve, Lovable, 스타트업, TC, Vercel 기사 내 링크를 통해 구매를 하시면 소정의 수수료를 받을 수 있습니다. 이는 본 편집의 독립성에는 영향을 미치지 않습니다. - Julie Bort

원문 보기
원문 보기 (영어)
The story of embattled compliance startup Delve keeps hitting twists and turns. TechCrunch has confirmed that Delve was the compliance company that performed the security certifications for Context AI, the AI agent training startup that last week disclosed a security incident which led to a data breach at popular app and website hosting giant Vercel . On the other hand, Lovable, which had its own security incident, is no longer a Delve customer. To recap: Last month, Delve came under fire when an anonymous whistleblower alleged that the startup was faking customer data , and using rubber-stamping auditors in its compliance and certifications processes. Delve has denied those allegations. Soon afterwards, hackers attacked one of Delve's security certification customers, LiteLLM , and planted malware in its open source code. After the incident, LiteLLM told TechCrunch it was dumping Delve and getting re-certified. Delve was also accused of taking an open source tool and passing it off as its own work without proper license attribution. The startup’s reputation grew shaky, prompting Y Combinator, where Delve graduated from , to sever ties. Fast forward to last weekend, Vercel said hackers had breached its internal systems and accessed some customer data . The company said hackers broke in after an employee downloaded an app made by Context AI and connected that app to Vercel's corporate account hosted by Google. The hackers abused that employee's access to their Google account to break into some of Vercel’s internal systems. After Context AI was named in the Vercel attack, Gergely Orosz, author of the engineering newsletter, The Pragmatic Engineer, said in a post on X that Delve was the company that handled Context AI’s security certification. Context AI has now confirmed to TechCrunch that it did use Delve, but it has since ditched the startup and is in the process of getting re-certified. “Yes, Context was previously a Delve customer," a spokesperson for Context AI told TechCrunch. "Following the reporting surrounding Delve in March, we transitioned our compliance program to Vanta and engaged Insight Assurance, an independent audit firm, to conduct new examinations. As part of the re-examination, we began updating our public materials, and we'll share the new attestation when it is complete,” the spokesperson added. Security certifications on their own don't stop security issues. They are intended to verify that a company has policies and processes in place to hinder attacks and reduce the likelihood of customer data being compromised. Case in point: Lovable was a Delve customer, but after the whistleblower's allegations came out, the vibe-coding platform said it had ditched the startup back in late 2025. The company has already re-completed one security certification, and is in process of redoing others, it said. Still, Lovable on Monday admitted that it had inadvertently shared access to customer chat data publicly. The company also said it had dismissed vulnerability reports that alerted the company to the problem months earlier. Lovable apologized for initially denying there was a data breach, though it said the issue was caused by a configuration error, rather than a hack. There's even weirder news swirling around Delve. The anonymous whistleblower, DeepDelver, has published another post alleging Delve was denying refunds to customers, but still took its team of more than 20 people to an offsite meeting in Hawaii between April 15 and April 19. The whistleblower shared some compelling receipts with TechCrunch that lend credence to the alleged Hawaii trip, but TechCrunch could not confirm other claims. Delve did not respond to requests for comment and confirmation, and an email sent to its media relations address bounced. Topics AI , context ai , Delve , Lovable , Startups , TC , Vercel When you purchase through links in our articles, we may earn a small commission . This doesn’t affect our editorial independence. Julie Bort Venture Editor Julie Bort is the Startups/Venture Desk editor for TechCrunch. You can contact or verify outreach from Julie by emailing julie.bort@techcrunch.com or via @Julie188 on X. View Bio April 30 San Francisco, CA StrictlyVC kicks off the year in SF. Get in the room for unfiltered fireside chats with industry leaders, insider VC insights, and high-value connections that actually move the needle. Tickets are limited. REGISTER NOW Most Popular Unauthorized group has gained access to Anthropic's exclusive cyber tool Mythos, report claims Lucas Ropek SpaceX is working with Cursor and has an option to buy the startup for $60B Tim Fernholz Tim Cook stepping down as Apple CEO, John Ternus taking over Amanda Silberling Connie Loizos Rivian's factory hit by tornado ahead of R2 launch Sean O'Kane Blue Origin's New Glenn put a customer satellite in the wrong orbit during its third launch Sean O'Kane Palantir posts mini-manifesto denouncing inclusivity and ‘regressive’ cultures Anthony Ha Anthropic launches Claude Design, a new product for creating quick visuals Aisha Malik
보안 스타트업 데이터유출 컴플라이언스 Vercel