안녕하세요. 와우파트너스입니다. 와우파트너스는 지난 2월에 립스(LIPS) 운영사에 선정되었습니다. 립스(LIPS)는 Lifestyle business Incubating Program for Strong Enterprise의 약자로, 로컬(Local) 및 라이프스타일(Lifestyle) 분야 창업자를 지원하는…
2026년 3월, 실리콘밸리를 뒤흔든 스캔들 하나가 터졌다. YC 출신 컴플라이언스 자동화 스타트업 델브(Delve)가 고객사 494곳에 발급한 SOC 2 보안 인증서 중 493건이 99.8% 동일한 가짜였다는 내부고발이 나온 것이다. 인증서에는 “보안 예외 없음”이라는 문구와 동일한 오타가 493개 파일에 반복돼 있었다. 3200만 달러를 투자한 인사이트 파트너스(Insight Partners)는 조용히 투자 블로그 포스팅을 삭제했다. 직후 델브 고객사였던 라이트LLM(LiteLLM)이 악성코드 감염 사태를 겪으며 계약을 종료하면서 파장은 더 커졌다.
이 사건은 컴플라이언스 자동화 시장 전체에 불편한 질문을 던졌다. “인증을 빠르게 따주는 것”과 “실제로 안전한 것”은 다르다. 그리고 그 간극을 AI가 메워야 한다면, 어떤 AI여야 하는가.
규제는 더 복잡해지고, 사기꾼은 더 영리해졌다. 컴플라이언스 팀은 늘어나는 규제 의무를 줄지 않는 인력으로 감당해야 하는 구조적 압박에 놓여 있다. AI는 이 방정식을 바꾸기 시작했다. 에이전트가 수사하고, 판단하고, 문서를 작성한다. 2026년 현재, 레그테크·컴플라이언스 자동화 시장은 다섯 개의 레이어로 나뉘어 빠르게 재편되고 있다.
분류 체계
이 시장을 이해하려면 두 가지 큰 축을 먼저 구분해야 한다.
레그테크(RegTech) 는 금융 규제 준수에 특화된 기술이다. 금융기관이 법적으로 이행해야 하는 의무, 즉 KYC(고객 신원 확인), AML(자금세탁방지), 제재 스크리닝, 거래 모니터링 등을 자동화한다. 규제 당국이 요구하는 것을 처리하는 영역이다.
컴플라이언스 자동화(Compliance Automation) 는 더 넓다. 금융뿐 아니라 모든 산업의 내부 규정·인증·감사를 자동화한다. SOC 2, ISO 27001, HIPAA, GDPR 같은 보안·개인정보 인증 취득이 대표적이다. 거래처와 계약을 따내거나 투자자 신뢰를 얻기 위해 인증이 필요한 모든 기업이 대상이다.
한마디로, 레그테크는 “법 안 어기기”, 컴플라이언스 자동화는 “인증 따기”에 가깝다. 델브 스캔들이 터진 것도 후자에서였다.
레이어 1 | 금융 범죄 방어 (Financial Crime / AML·KYC)
가장 오래되고 가장 큰 레그테크 시장이다. 금융기관은 자금세탁·테러 자금·사기를 탐지할 법적 의무가 있다. 전통적으로 규칙 기반 시스템이 이를 처리했지만, 오탐(false positive) 비율이 90%를 넘는 게 고질적인 문제였다. 수천 건의 알림 중 실제 범죄는 극소수고 대부분은 오탐인데, 이를 일일이 사람이 검토해야 하는 구조다. AI 에이전트는 이 방정식을 바꾸고 있다.
애플 사기 엔지니어링팀 출신 카린 멜라타(Karine Mellata)와 마이클 린(Michael Lin)이 2023년 공동 창업한 YC W23 출신 스타트업이다. KYC·KYB·AML 수사와 트랜잭션 모니터링, 사기 탐지를 자율적으로 실행하는 에이전트 플랫폼으로, 독자 개발한 컨텍스트 엔진이 기업의 엔터티·이벤트·관계를 통합 데이터 모델로 구성해 멀티홉 수사를 수 분 안에 처리한다. 에이전트가 내린 모든 판단은 출처 명시와 감사 기록이 남는다. 포천 500대 기업 다수와 GoFundMe, Redbubble 등이 고객이며 도입 후 정책 집행 일관성이 50% 향상됐다. 2026년 3월 텐 일레븐 벤처스 주도로 시리즈A 2150만 달러를 유치했다.
BCG 출신 에도아르도 마스키오(Edoardo Maschio)와 유럽 최대 BNPL 플랫폼 빌리(Billie)의 VP 엔지니어링 출신 아흐메드 가버(Ahmed Gaber)가 YC S23에서 공동 창업했다. 런던·베를린 기반으로 KYC·AML 팀의 반복 수작업을 자율 AI 에이전트로 대체한다. 제재·PEP 알림 처리, 가맹점 리스크 심사, 고객 문서 검토를 엔드투엔드로 자동화하며, 모든 조사 단계는 감사 추적이 가능한 형태로 기록된다. 결제 유니콘 스칼라페이(Scalapay)는 도입 후 연간 6000시간의 수동 검토를 없앴다. 2026년 스피드인베스트·샤퍼스 공동 리드로 시드 250만 달러를 유치했다.
뮌헨에 본사를 둔 AML·사기 방지 전문 플랫폼으로 2018년 설립됐다. 결제 스크리닝, AML 거래 모니터링, 영구 KYC를 하나로 통합해 제공한다는 것이 핵심 차별점이다. 전통적인 규칙 기반 시스템이 단순히 알림을 쏟아내는 데 그친다면, 호크는 머신러닝과 생성형 AI를 결합해 더 많은 범죄를 탐지하면서도 오탐을 대폭 줄인다. 일부 고객사에서는 알림 정확도를 90%까지 끌어올리고 기존 대비 두 배 많은 미탐지 범죄를 발굴했다. 에코뱅크(Ecobank), 월드라인(Worldline), 싱크테라(Synctera) 등 전 세계 80곳 이상의 금융기관이 고객이다. 2025년 4월 원피크(One Peak) 주도로 시리즈C 5600만 달러를 유치하며 누적 투자액 1억 달러를 돌파했다.
뉴욕 기반의 풀스택 금융 범죄 예방 플랫폼으로, 글로벌 리스크 데이터·독자 인텔리전스·스크리닝 기술·AI 자동화를 하나의 시스템에 통합했다. 은행, 결제사, 핀테크, 글로벌 기업이 KYC·AML·제재 스크리닝을 수행하는 데 필요한 모든 것을 단일 플랫폼에서 제공한다. 2조 달러 이상의 자산과 매월 수십억 달러의 거래를 보호하고 있으며, 챠티스 리서치(Chartis Research)의 부정 미디어 스크리닝 부문에서 2년 연속 1위를 차지했다. 2년간 5배 성장을 달성하며 2025년 흑자 전환에 성공했다. 2026년 3월 모던 벤처스(Moderne Ventures) 주도로 시리즈B 1730만 달러를 유치했다.
런던 기반의 AML 데이터·스크리닝 SaaS로, AI 기반 실시간 데이터 파이프라인을 통해 제재·PEP·부정 미디어 정보를 금융기관에 제공한다. 전통적인 리스트 기반 스크리닝의 한계를 극복하고 다이내믹하게 업데이트되는 데이터로 금융 범죄 탐지 정확도를 높인다. 유니콘으로 평가받으며 전 세계 1000곳 이상의 고객을 두고 있다. 2022년 온타리오 교직원연금(OTPP) 주도로 시리즈C 5000만 달러를 유치했다.
레이어 2 | GRC (거버넌스·리스크·컴플라이언스)
금융에 국한되지 않는 기업 전반의 리스크 관리·내부 통제·감사 영역이다. 전통적으로 아처(Archer), 서비스나우(ServiceNow) 같은 대기업 플랫폼이 지배해왔지만, 이 도구들은 무겁고 느리며 AI와 거리가 멀었다. AI 네이티브 스타트업들이 이 틈을 파고들고 있다.
맥킨지앤컴퍼니와 버지니아주 경제개발공사 출신의 리차 카울(Richa Kaul)이 2023년 창업한 AI 네이티브 엔터프라이즈 GRC 플랫폼이다. “왜(why)가 있는 컴플라이언스”를 표방하며, GRC 팀이 단순 반복 업무 대신 실제 비즈니스와 고객 보호에 집중할 수 있도록 설계됐다. AI를 부가 기능으로 얹은 게 아니라 플랫폼 자체를 AI 네이티브로 구축한 것이 특징이다. 에이전트들은 전문 도메인에 맞게 훈련되고, 정해진 워크플로 안에서만 작동하며, 중요한 의사결정 순간에는 반드시 사람의 확인을 요청한다. CVS헬스, 드롭박스(Dropbox), 메이저리그사커(MLS), 웰스타 헬스시스템(Wellstar Health System) 등 포천 500대 기업을 고객으로 두고 있으며, 수동 GRC 업무를 70% 줄이는 성과를 내고 있다. 2026년 2월 GV(구글벤처스) 주도로 시리즈A 2000만 달러를 유치했으며 누적 조달액은 2800만 달러다.
애플에서 금융 보안 제품을 개발하고 스탠퍼드에서 AI 연구를 수행한 카랴니 라마더검(Kalyani Ramadurgam)과 어펌(Affirm)·메타 출신 엔지니어 아시 아그라왈(Ashi Agrawal)이 2023년 공동 창업했다. 금융기관을 위한 TPRM(제3자 리스크 관리), 내부 감사, 마케팅 컴플라이언스 워크플로를 AI 에이전트로 자동화한다. 은행이 파트너사·벤더를 온보딩할 때 수천 페이지의 문서를 수작업으로 검토하던 과정을 AI가 대체해 문서 검토 시간을 며칠에서 20분으로 단축했다. 차임(Chime), 빌트(Bilt), 셀틱 뱅크(Celtic Bank) 등이 고객이다. 창업자 라마더검은 포브스 30세 이하 30인 2026에 선정됐다. 2025년 12월 퍼스트 하모닉(First Harmonic) 주도로 시리즈A 1100만 달러를 유치했다.
SOC 2, ISO 27001, HIPAA, GDPR 등 보안·개인정보 인증 취득을 자동화하는 영역이다. 스타트업이 엔터프라이즈 계약을 따내려면 이런 인증이 사실상 필수가 됐고, 기존에는 6개월에서 1년이 걸리던 과정을 몇 주로 줄여준다는 가치 제안으로 시장이 급성장했다. 델브 스캔들이 터진 레이어다.
시장 1위 사업자다. 500곳 이상의 독립 감사 파트너 네트워크와 35개 이상의 컴플라이언스 프레임워크를 지원한다. 델브와 결정적으로 다른 점은, 자동화가 증거 수집까지만 담당하고 실제 감사 의견은 반드시 독립된 인증 감사인이 발행한다는 구조다. 이 때문에 델브 스캔들 이후 라이트LLM을 비롯한 다수 기업이 반타로 갈아탔다. 2023년 시리즈C에서 1억5000만 달러를 유치하며 유니콘 지위를 확보했다.
MIT를 중퇴한 21세 창업자 카룬 카우쉬크(Karun Kaushik)가 YC를 거쳐 설립한 AI 컴플라이언스 자동화 스타트업이다. “가장 빠른 SOC 2 인증”을 내세우며 빠르게 성장해 2025년 인사이트 파트너스 주도로 시리즈A 3200만 달러를 유치했다. 그러나 2026년 3월 내부고발자 ‘딥델버(DeepDelver)’가 델브가 발급한 494건의 SOC 2 보고서 중 493건이 99.8% 동일하다는 증거를 공개했다. 감사 보고서에는 동일한 오타가 반복됐고, 감사를 수행한 업체들은 실체 없는 페이퍼 컴퍼니에 가까웠다. 상세 내용 → 고객사 라이트LLM은 악성코드 감염 사태 이후 델브와 결별했고, 인사이트 파트너스는 투자 블로그 포스팅을 삭제했다. 델브 측은 의혹을 부인하며 무료 재검토를 제안했지만 고객 이탈이 이어지고 있다.
레이어 4 | 데이터 프라이버시·GDPR 컴플라이언스
GDPR, CCPA, HIPAA 등 개인정보보호법 준수 자동화 영역이다. 규제가 강화되면서 독립적인 시장을 형성했고, 보안 인증 자동화(레이어 3)와 경계가 점점 흐려지고 있다.
이 영역의 절대 강자다. 데이터 프라이버시·컴플라이언스 플랫폼 시장 최대 업체로 기업가치 55억 달러의 데카콘 지위를 보유하고 있다. 14,000곳 이상의 고객을 확보했으며 GDPR, CCPA, HIPAA를 비롯한 수백 개 규제 프레임워크를 지원한다. 단순한 인증 도구를 넘어 조직 전체의 데이터 거버넌스 인프라로 자리잡고 있다.
① AI 에이전트화 가속 2024년까지는 대시보드+규칙 엔진이 중심이었다. 2025~2026년에는 에이전트가 직접 수사·판단·문서 작성까지 처리하는 방향으로 빠르게 이동하고 있다. 배리언스, 딜리전트 AI, 컴플라이언스 모두 이 전환의 수혜자다.
② 금융(RegTech)과 일반기업(GRC) 경계 붕괴 배리언스가 금융기관 외에 마켓플레이스·플랫폼 기업도 커버하는 것처럼, 레그테크와 GRC의 경계가 점점 사라지고 있다. AI 에이전트는 도메인을 가리지 않는다.
③ 신뢰 위기와 감사 추적 가능성의 부상 델브 스캔들로 “빠른 인증 자동화”라는 가치 제안 자체에 의문이 생겼다. 앞으로는 에이전트가 내린 모든 판단에 출처와 감사 기록이 남아야 한다는 요구가 시장 기준이 될 것이다. 배리언스, 딜리전트 AI, 컴플라이언스 모두 이를 핵심 차별점으로 내세우는 것은 우연이 아니다.
④ 수천억 달러 규모의 시장 레그테크 시장은 2026년 기준 약 218억 달러 규모로, 2033년까지 연 21.6% 성장이 전망된다. 보안 인증 자동화(SOC 2) 시장은 2026년 13억 달러로 연 53% 성장 중이다. GRC와 데이터 프라이버시까지 합치면 전체 시장은 수천억 달러 규모다.
답글 남기기
댓글을 달기 위해서는 로그인해야합니다.