문제 (Problem)

SOC2 감사를 준비하는 스타트업과 중소기업 개발팀은 코드 리뷰, 변경 관리, 접근 제어 등의 증거를 수작업으로 수집해야 합니다:

  • GitHub에 이미 존재하는 데이터(PR 리뷰, 브랜치 보호, 커밋 서명 등)를 별도로 스크린샷/PDF로 캡처
  • 감사 준비에 40~100시간의 수작업 소요
  • GitHub 감사 로그 보존 기간은 90일 — 증거를 외부로 스트리밍하지 않으면 유실
  • Vanta/Drata 같은 도구는 $10K~30K/년으로 초기 스타트업에 부담

Pain Point 강도: 8/10 - 지속적(컴플라이언스 유지) + 주기적 급증(6-12개월마다 감사)

시장 (Market)

  • 1차 시장: SOC2 인증이 필요한 Series A-B SaaS 스타트업 (5-50명 엔지니어)
  • 세그먼트: DevOps 리드, CTO, 보안 엔지니어
  • TAM: SOC2 컴플라이언스 자동화 시장 $1.5B (2023) → $3.8B (2028)
  • 검증 신호: Vanta $4.15B 밸류에이션 ($220M ARR), Drata $2B 밸류에이션 ($98M ARR, +61% YoY)
  • 가격 공백: $0(수작업/OSS) ~ $5,000(ComplyJet) 사이의 GitHub 특화 솔루션 부재

솔루션 (Solution)

EvidentTrail - GitHub 활동을 SOC2 감사 증거로 자동 변환하는 GitHub-네이티브 컴플라이언스 도구

핵심 기능

  1. 자동 증거 매핑: GitHub 커밋, PR, 리뷰, 브랜치 보호를 SOC2 컨트롤(CC6, CC7, CC8)에 자동 매핑
  2. 연속 모니터링: 웹훅 기반 실시간 증거 수집 (90일 보존 제한 해결)
  3. 감사 리포트 생성: 감사관 제출용 PDF/HTML 증거 패키지 자동 생성
  4. 컨트롤 대시보드: 현재 SOC2 준수 상태를 한눈에 확인

동작 방식

# GitHub Webhook → EvidentTrail 증거 매핑 예시

# 1. PR 머지 이벤트 수신
webhook_event:
  type: pull_request.merged
  repo: acme/backend-api
  pr: "#342 - Add payment validation"
  reviewers: ["alice", "bob"]
  approved: true
  branch_protection: required_reviews=2, signed_commits=true

# 2. SOC2 컨트롤 자동 매핑
evidence_generated:
  - control: CC8.1  # Change Management
    evidence: "PR #342 승인 후 머지 (리뷰어 2명 확인)"
    timestamp: 2026-02-27T14:32:00Z
  - control: CC6.1  # Logical Access
    evidence: "브랜치 보호 규칙 적용 (서명된 커밋 필수)"
  - control: CC7.2  # System Monitoring
    evidence: "변경사항 감사 추적 로그 기록"

# 3. 월간 감사 리포트 자동 생성
report:
  format: PDF
  controls_covered: 12/15
  evidence_count: 847
  period: 2026-02

경쟁 (Competition)

경쟁사가격약점
Vanta$15K-30K/년소규모 팀에 과도한 비용과 범위
Drata$10K-25K/년엔터프라이즈 초점, 복잡한 온보딩
Secureframe$8K-20K/년300+ 통합이지만 여전히 고가
ComplyJet$4,999/년GitHub 특화 증거 수집 미최적화
수작업 (스프레드시트)무료40-100시간 소요, 오류 발생, 비연속적

경쟁 강도: Medium - 대형 플레이어가 시장 장악, 그러나 GitHub 특화 저가 틈새는 미개척 차별점: GitHub-only 초점 = 10배 빠른 셋업, 연속 증거 vs 시점 스냅샷, $99/월 시작 가격

MVP 개발 (MVP)

  • MVP 기간: 8-10주
  • 풀 버전: 6-8개월
  • 기술 복잡도: Medium-High (SOC2 컨트롤 매핑에 도메인 연구 필요)
  • 필요 스택: Node.js/Python, PostgreSQL, GitHub API/Webhooks, WeasyPrint (PDF), React, Docker

MVP 범위

  1. GitHub OAuth 연동 + 웹훅 수신
  2. 핵심 SOC2 컨트롤 5개 자동 매핑 (CC6.1, CC7.1, CC7.2, CC8.1, CC8.2)
  3. 기본 증거 리포트 PDF 생성
  4. 컨트롤 커버리지 대시보드

수익 모델 (Revenue)

  • 모델: SaaS Subscription (팀 규모별)
  • 가격:
    • Starter: $99/월 (10명 이하, SOC2 Type I 증거)
    • Growth: $299/월 (50명 이하, Type II, 연속 모니터링)
    • Enterprise: 커스텀 (SSO, 감사관 포털, API)
  • 예상 MRR (6개월): $3,000-8,000 (15-30 초기 고객)
  • 예상 MRR (12개월): $15,000-40,000 (HN 런칭, 컨설턴트 채널 파트너십)

리스크 (Risk)

유형수준대응
기술MediumSOC2 컨트롤 매핑 정확도 → 감사법인 파트너십으로 검증
시장MediumVanta가 저가 티어 출시 가능 → 12-18개월 내 니치 선점 필요
실행Medium-High컴플라이언스 도메인 신뢰 구축 → SOC2 컨설턴트와 협업, 오픈소스 컨트롤 매핑 공개

추천 (Recommendation)

점수: 86/100 ⭐⭐⭐⭐

추천 이유

  1. 검증된 대형 시장: Vanta $220M ARR, Drata $98M ARR이 증명하는 폭발적 수요
  2. 명확한 가격 공백: $0 ~ $5,000 사이 GitHub 특화 솔루션 부재
  3. 구조적 수요: SOC2는 B2B SaaS 엔터프라이즈 세일즈의 필수 조건 → 해마다 새로운 고객 유입
  4. DevOps/API 스킬 적합: GitHub API, 웹훅, 백엔드 파이프라인 = 20년 경력 직결

리스크 요인

  1. SOC2 컨트롤 매핑의 법적/컴플라이언스 정확성 검증 필요
  2. Vanta/Drata가 언제든 저가 스타터 티어 출시 가능
  3. 솔로 개발자로서 컴플라이언스 도메인 신뢰 구축이 가장 큰 도전

첫 번째 액션

  1. SOC2 Type I의 핵심 컨트롤 5개 매핑 테이블 작성 (감사법인 리뷰 요청)
  2. GitHub App으로 웹훅 수신 + 증거 저장 PoC 구현
  3. 10개 스타트업 CTO에게 콜드 이메일로 가격/기능 검증

이 아이디어는 “EvidentTrail – Turn GitHub activity into continuous SOC2 audit evidence” Show HN 프로젝트에서 영감을 받아, GitHub 활동만으로 SOC2 감사 증거를 자동 생성하는 저비용 대안을 제안합니다.