导致韩国水力原子能（韩水原）资料外泄事件的“反对核电集团”是具备高度专业性的黑客组织，他们逐渐浮出水面。他们具有能够窃取图纸等黑客技术，采用额外暴露警告等心理战，为躲避调查机关的追踪使用僵尸电脑。因此检察厅更倾向于朝鲜有介入的可能性，对罪犯进行追查。

22日，调查该事件的首尔中央地方检察厅个人信息犯罪政府联合调查团（团长李正洙）相关负责人透露“追踪罪犯使用的国内ID，即2个IP地址的结果发现是僵尸电脑”，“罪犯可能是做了长期准备的黑客专家组织”。检察厅相关负责人指出“由于罪犯多次使用日本、美国、韩国的IP地址，调查呈长期化态势。”检察厅为了找到使用美国服务器推特的用户，向美国联邦调查局（FBI）提出司法协助的申请。

高丽大学情报保护研究生院长林钟仁表示担忧“被韩水原黑客利用的恶性程序代码与近日美国索尼遭遇黑客袭击、去年黑客袭击韩国媒体时使用的代码功能上十分相似”，“恶性程序代码如果深入核电站防御网，完全有中断核电站运行的可能。”15日，反对核电集团在Naver博客上传了自我介绍海报，集团名称来源于德国反核组织。检察厅相关负责人对此表示“黑客为了隐藏身份，可能故弄玄虚。”

据调查，韩水原在反对核电集团公开资料前一周，虽然知道恶性程序代码入侵内部，但并未切实采取后续措施。22日，产业通商资源部和韩水原召开政府联合发布会，表示“怀疑是古里·月城核电站职员的四台电脑（内部网三台，外部网一台）被核电站资料外泄犯的网络袭击，而感染恶性程序代码。” 　

据韩水原介绍，12月9日职员的电脑收到群发的电子邮件，其中添加了“会议记录”、“安保策略”等韩文文件，这些文件里有击垮电脑的恶性程序代码。韩水原的相关负责人指出“其中3名职员把电子邮件转发到内部网之后，电脑崩溃。”该负责人解释道“相关的恶性程序代码只是让电脑无法再启动，并不会让资料因此外泄。”但是感染程序代码之后，15日反对核电集团这样写道“12月10日（推断由于国内外时差）‘Who am I?’还没能破解吧…（省略）…切断进入网站账号的邮件，能阻止核电站爆发吗？”

◆监查院2年前“应对网络黑客袭击能力较弱” 2年前韩水原收到监查院提出“易受网络恐怖袭击”的通报已被证实。有人指责韩水原虽然受到监查院的警告，仍不强化网络安保引发此次事件。 　

2012年12月5日，据监查院公开的监查结果“国家核心基础设施危机管理实况”显示，韩水原实际上运用中央监控（SCADA）体系启动发电站，没有与处理一般业务的业务网独立分开，未遵守“《国家情报安保基本方针》”等相关法令。当时的监查已经揭露了本次设计图纸外泄的古里核电站等4台由本部职员连接外部的网络所使用的工作用电脑被任意连接到SCADA系统的事实。当时监查院向韩水原社长通报“若网络恐怖袭击发生，核电站主要设备会出现错误启动的可能，必须强化管理。”