25일 합수단 관계자는 "지난 9일 외부에서 한수원 직원들에게 악성코드가 심어진 첨부파일이 담긴 메일을 보냈다"며 "이 e메일을 발송한 e메일 계정 명의의 상당수가 한수원의 퇴직자들이었다"고 밝혔다.
합수단에 따르면 이 e메일을 받은 한수원 직원들은 수백여명으로 e메일은 업무를 가장한 듯한 제목을 달고 있었다. e메일의 종류는 한 가지가 아닌 여러 가지였으며 악성코드는 300여가지였다. 합수단은 해당 e메일과 관련된 한수원 퇴직자들의 명의가 도용당했을 가능성이 높은 것으로 보고 있다. 특히 퇴직자가 아닌 제3자의 명의로 발송된 e메일 발송자의 경우 인터넷 가상사설망(VPN) 서비스를 통해 할당받은 IP(접속지)를 활용했고 이 IP들은 중국 선양에서 접속된 것으로 나타난 만큼 이들의 명의도 도용됐을 것으로 내다보고 있다.
합수단은 악성 e메일 유포자와 유출 자료 게시자가 동일인 혹은 동일그룹일 가능성이 높다고 밝혔다. 합수단 관계자는 "다섯 번째 협박게시글에 '12월9일을 역사에 남도록 할 것이다'라는 문구가 있었다"며 "현재까지의 IP 구조와 둘 다 중국 선양에서 IP가 접속된 사실 등을 볼 때 동일인 내지 동일 그룹이라고 본다"고 말했다. 12월9일은 악성 e메일이 발송된 날이다. 실제로 e메일 발송에 사용된 IP와 유출 자료가 담긴 글을 올리는 데 활용한 IP를 비교한 결과 12개의 숫자 중 끝자리 하나만 다르게 나오는 등 상당한 유사점이 있다는 사실을 확인했다.