韓国水力原子力（韓水原）内部資料流出はハッカーが退職職員のアカウントを盗用して現職職員に送った「メール爆弾」で始まったと推定される。過去の同僚のメールと思って開いた職員のパソコンが悪性コードに感染し、「原発安全解析コード（ＳＰＡＣＥ）」のような機密資料が流出したということだ。

ソウル中央地検個人情報犯罪政府合同捜査団は２５日、「ハッカーが１２月９日、中国瀋陽所在のＩＰアドレス約２０個から接続し、数百人の韓水原職員に数千件のメールを発送したことを確認した」と明らかにした。合同捜査団は「メールには悪性コード３００種類余りを隠しておいたハングルファイルを添付し、件名を特定図面や制御プログラムなどと業務のように見せかけた」と伝えた。

合同捜査団は、メール爆弾を送ったハッカーが１５日からツイッターなどに韓水原流出資料と脅迫文を掲示してきた自称「原発反対グループ」と同一犯人とみている。「原発反対グループ会長ミ・ヘク」が２３日、ツイッターで５つ目の脅迫文を掲示し、「１２月９日を歴史に残る日にする」として韓水原をハッキングした日を明らかにしたからだ。メールを送ったハッカーと原発反対グループともに瀋陽でインターネットに接続したという点からも、同一組織・グループや同一人と見ることができると、合同捜査団は話した。


合同捜査団によると、ハッカーは韓水原を退職した数十人の役職員のポータルサイト「ダウム」のメールアカウントを盗用し、数百人の現職役職員に無差別メール攻撃をしたという。フィッシングメールと疑われないよう９つ単位でメールの件名を変え、別の悪性ファイルを添付した。合同捜査団は脅迫内容のように制御プログラムを遠隔操縦して原発を停止させることができる悪性コードも含まれているかどうか、コード分析作業を進行中だ。

一方、この日、原発反対グループが公言したクリスマス原発攻撃はなかった。当初、原発反対グループは「２５日までに３基の原発（古里１・３号機、月城２号機）を停止しなければ破壊を実行する」と脅迫した。

青瓦台（チョンワデ、大統領府）は金寛鎮（キム・グァンジン）国家安保室長の主宰でサイバー安保危機評価会議を開いた後、「原発の稼働中断でも危険な状況がもたらされる可能性はないと評価された」と述べた。