检方调查发现，12月9日韩国水力原子能公司（简称韩水原）员工曾收到大量包含300多种恶意代码的电子邮件，目前正动用搜查力量对这些恶性代码的类型进行分析。因为检方认为，其中如果含有可以叫停或操纵实际启动的核电站中央监控系统（SCADA）的恶性代码，将对核电站的安全造成直接影响。

首尔中央地方检察厅个人信息犯罪政府联合调查团（团长 李正洙）12月25日表示“我们正在调查其是单纯删除用户电脑硬盘记录的恶意代码，还是可以远程控制电脑或盗取文件的恶意代码”，“感染恶意代码的时间很可能是电子邮件发出的日期12月9日~10日，也可能是更早一些时候”。 　

检方正调查这次的恶性代码是否与2009年7月对韩国和美国政府官网进行“DDos”攻击、2011年4月对韩国农协电算网进行攻击和2012年~2013年攻击媒体报社等的恶性代码存在类似性。黑客曾通过恶性代码攻击媒体报社等网站破坏电脑硬盘并盗取部分内部资料。

检方相关人士表示“估计黑客没有使用与以前一样的代码，正分析原来的代码是否有所进化”。对此，反核电站集团12月15日曾在NAVER博客上表示“核电站设计、控制项目和所有机密资料都已落入我们手中”。 　

检方还证实，反核电站集团与恶性代码散布者的IP几乎一致，12位地址中有11位完全相同，存在一定的相似性。他们全部以“175”开头，说明是在中国沈阳市内登陆的网络。检方表示，从电子邮箱账号被盗用的韩水原退休员工的退休时期来看，散布恶性代码的人应该至少从1~2年前就开始搜集韩水原高管的个人信息。 　

此前韩水原一直强调“外部网络和包含核电站控制系统内部网络处于严格分离状态，感染恶意代码的4台电脑也只是硬盘遭到破坏，资料并未泄露”。但2012年12月监查院检查过程中曾发现，韩水原并未将中央监控系统从一般业务处理网络中独立出去，还发现古里核电站等的员工经常利用连接外部网络的业务电脑登陆内部系统。

◆ 中国“反对黑客行为”= 中国外交部发言人华春莹12月24日就韩水原的核电站图纸泄露一事表示“中方在有关问题上的原则立场是一贯的。中方坚决反对任何形式的黑客攻击活动。黑客攻击是全球性问题，我们愿与各国开展建设性对话与合作，共同应对这一挑战”，暗示中国有意接受韩方司法协助的请求，与韩国展开合作。