昨年末の韓国水力原子力（韓水原）の原発図面流出事態は北朝鮮のハッカー集団が長期間にわたり準備して実行したサイバー攻撃だったという結論を、捜査当局が出した。

個人情報犯罪政府合同捜査団は１７日、「昨年１２月９－１２日に韓水原に入った悪性コードは、北朝鮮ハッカー組織が使うキムスキー（ｋｉｍｓｕｋｙ）悪性コードと同じ」と明らかにした。キムスキーとは、北朝鮮が２０１０年以降、韓国国防部、統一部などをハッキングする際に使った悪性コードだ。また捜査団は「この時期、北の逓信省傘下機関が国内仮想プライベートネットワーク（ＶＰＮ）で３０回ほど接続した痕跡発見した」と述べた。

捜査団によると、自称「原発反対グループ」は昨年１２月末から最近まで６回、国内ポータルやツイッターに「クリスマスまでに原発の稼働を中断しなければ原発設計図面を公開する」などの文を載せた。韓水原役職員の住所録・電話番号と原発安全解析コード（ＳＰＡＣＥ）、月城・古里原発設計図面９４件も公開した。ハッカーが公開した資料は、韓水原の内部ではなく協力会社の職員のメールとパソコンから盗み出したものという。

また、ハッキングに使われた悪性コードに、韓国で主に使われる「アレアハングル」プログラムを攻撃対象にしたバグが使われたという。捜査団は原発稼働を中断するよう脅迫してきた原発反対グループと韓水原の悪性コードの流布者が同じ北朝鮮ハッカー組織だと判断した。根拠は昨年１２月９－１２日に韓水原に入った悪性コードのＩＰアドレス、「キムスキー」系列の悪性コードのＩＰアドレス、原発反対グループＩＰアドレスの１２けたのうち９けたが「１７５．１６７．ｘｘｘ．ｘｘｘ」で一致した。

韓水原が悪性コードの攻撃を受けた昨年１２月下旬に北朝鮮発ＩＰアドレス２５件、中国北京所在の北朝鮮逓信省傘下通信会社ＫＰＴＣのＩＰアドレス５件が国内に接続した記録も見つかった。すべて北朝鮮逓信省傘下のハッカー組織が偽装して活動する中国瀋陽地域－国内Ｈ社のネットワークを経て接続した。

捜査団の関係者は「今回の攻撃は少なくとも１０人以上が１年以上準備してきたこと」とも述べた。捜査団は「国連事務総長と朴槿恵（パク・クネ）大統領の通話要録」と題した対話録を原発反対グループが１２日に公開したことに関し、米ニューヨーク国連本部がハッキングされたかどうか米連邦捜査局（ＦＢＩ）と協力して捜査している。